Нет никаких причин использовать новые алгоритмы вместо старых и хорошо изученных

Брюс Шнайер:
«Как правило, нет
никаких причин
использовать
новые или
неопубликованные
алгоритмы вместо
старых и хорошо
изученных»
Признанный авторитет в области криптографии Брюс Шнайер на конференции Black Hat Briefings, посвященной вопросам безопасности, заявил, что использование большинства криптографических продуктов и систем вовсе не гарантирует нужной степени защиты и что на практике коммерческие продукты ведут себя совсем не так, как преподносится в рекламе.

Компаниям рекомендовано применять более сложные генераторы случайных чисел и отдавать предпочтение известным алгоритмам и криптографическим протоколам.

Брюс Шнайер — автор книги Applied Cryptography («Прикладная криптография») и изобретатель алгоритмов Blowfish, Twofish и Yarrow. В настоящее время он занимает пост президента компании Counterpane Systems. В своем выступлении Шнейер отметил, что неискушенным покупателям очень трудно отличить хорошие криптографические продукты, встроенные в средства безопасности, от плохих.

«Чтобы обнаружить имеющиеся ошибки, нужно тщательно тестировать программное обеспечение, — подчеркнул Шнайер. — Однако очень часто производители не уделяют достаточного внимания этой процедуре, а на этапе бета-тестирования бреши в системе безопасности, как правило, ничем не проявляют себя».

По словам Шнайера, недочеты можно найти практически везде: в модели угрозы, в архитектуре, в алгоритмах и протоколах, в практической реализации и настройке конфигурации, в пользовательском интерфейсе, процедурах, а также в других деталях программных продуктов.

Как правило, нет никаких причин использовать новые или неопубликованные алгоритмы вместо старых и хорошо изученных. Также нет необходимости применять оригинальные алгоритмы, предлагаемые тем или иным разработчиком.

Как подчеркнул Шнайер, неудачно выбранные генераторы случайных чисел также могут отрицательно сказаться на безопасности всей системы, поскольку надежность работы многих алгоритмов и протоколов напрямую зависит от случайных чисел, которые используются в качестве входных данных. Случайные числа играют очень важную роль в большинстве современных криптографических алгоритмов. Они применяются при создании ключей сеансов, при генерации открытых ключей, а также при формировании цифровой подписи.

Консультанты по вопросам безопасности, принимавшие участие в работе конференции, очень серьезно отнеслись к предупреждениям Шнайера. «Думаю, никто не станет покупать оригинальные продукты шифрования, если они не обеспечивают достаточной степени защиты, ведь злоумышленник легко может получить нужные ему данные методом обратного проектирования», — подчеркнул инженер компании Edge Technologies Байран Бейсден.

Ведущий специалист по вопросам безопасности компании Armstrong World Industries Мэттью Крамер отметил, что Шнайер заставил по-новому взглянуть на недостатки систем защиты и на продукты, в которые встроены средства шифрования (в качестве примера здесь можно привести виртуальные частные сети): «Чтобы отделить зерна от плевел, нужно проделать очень большую работу, и сегодня Брюс помог информационному сообществу разобраться с тем, что есть что».

Поделитесь материалом с коллегами и друзьями