Все кончено. "Слабого" шифрования больше нет - его убили в возрасте 21 года, и мы даже знаем, кто это сделал.

Слабое шифрование умерло днем в среду, 15 июля, когда группа взломщиков, используя компьютер собственной сборки, успешно подобрала ключи к стандартизованной, утвержденной правительством криптографической системе за 56 часов. Это означает, что взломщики разрушили конфиденциальность совершенной вами банковской операции, транзакции по кредитной карте и покупки, сделанной по Internet.

Совсем недавно я призвал Министерство юстиции, ФБР и Агентство по национальной безопасности отменить запрет на использование мощных криптографических систем в коммерческих предприятиях.

Я предупреждал, что кто-нибудь непременно продемонстрирует возможность быстрой, "всего за несколько суток", расшифровки сообщения, закодированного при помощи широко используемого стандарта DES.

"Кем-нибудь" оказалась группа взломщиков из некоммерческой организации Electronic Frontier Foundation (EFF). Специалисты EFF потратили год и 220 тыс. долл. на создание машины, взломавшей код менее чем за трое суток.

Взломавшей? Нет, просто уничтожившей. Последний раз для взлома DES 14 тыс. компьютеров, подключенных к Internet, усердно работали в течение 39 суток. То "представление" было устроено, чтобы доказать, что код можно взломать - теоретически.

Неудивительно, что действия EFF были подвергнуты критике. Джин Катол, председатель комитета по стандартизации технологий электронных банковских транзакций, назвал акцию EFF "крайне безответственной", сравнив ее с подробным рассказом о способах угона автомобиля, переданным по телевидению.

На самом деле в данной истории самая что ни на есть безответственность - это попустительство банковских и правительственных чиновников, не удосужившихся пресечь затянувшийся фарс. DES критиковали за слабость еще со времени его стандартизации в 1977 году. Уже давно существуют гораздо более надежные способы защиты данных, но стандартом до сих пор остается DES.

Безответственны призывы ФБР и АНБ к массовому использованию слабого шифрования, дабы агентства имели возможность ловить тех "плохих парней", которые настолько глупы, что не будут использовать более мощные криптографические системы. Да бросьте, кто сейчас верит в то, что шпионы и наркоторговцы ограничатся применением алгоритмов шифрования заведомо более слабых, чем те, которые правительство разрешает экспортировать?

"Плохие парни" используют и будут использовать мощные системы криптографии. И вам рекомендую делать то же самое.

Подотчетная вам информационная служба несет ответственность за защиту данных вашей компании. Передавая их по телефонным линиям или Internet, необходимо позаботиться об их защите. Что можно сделать? Проверьте используемую криптографическую систему. Если это "тройной DES", то есть шифрование по ключам длиной 128 бит и более, ваши данные, скорее всего, в безопасности, по крайней мере на данный момент. Если же у вас стандартный DES, то вы подвергаете свою информацию риску.


Фрэнк Хэйес - обозреватель Computerworld. С ним можно связаться по адресу frank_hayes@cw.com

Поделитесь материалом с коллегами и друзьями