InfoWorld, США
Взлом шифров — это последнее, о чем стоит беспокоиться ИТ-отделу предприятия?
Криптография — очень сложная область. Ведь, в конце концов, наука эта была изобретена для сокрытия информации от других людей. А значит, лучшие шифровальщики должны быть потрясающе умны, иметь хорошую математическую подготовку, четкое понимание человеческой психологии, а сегодня — еще и обладать недюжинными познаниями в области информационных технологий.
Президент и научный директор компании Cryptography Research Пол Кохер — яркий представитель этого племени. К заслугам суперзвезды криптографии относится участие в разработке технологий вскрытия алгоритмов шифрования. Сегодня Кохер руководит коллективом, который посвятил себя созданию программных технологий шифрования, которые могут оказаться практически полезными.
В беседе со старшим редактором еженедельника InfoWorld Полом Робертсом, которая состоялась в рамках недавней конференции RSA Security, Кохер изложил свои взгляды на вопросы безопасности. Несмотря на то что его имя ассоциируется с нахождением брешей в алгоритмах шифрования, Кохер заметил, что взлом шифров — это последнее, о чем стоит беспокоиться ИТ-отделу предприятия. Гораздо большее внимание должно уделяться борьбе с тем воздействием, которое оказывают на безопасность исключительно сложные современные приложения и операционные системы, поддерживаемые новым поколением мощных процессоров.
Расскажите немного об истории Cryptography Research и о том, что изменилось в области безопасности информационных систем с того момента, как появилась ваша компания.
Я основал Cryptography Research одиннадцать лет тому назад. Тогда, приступая к решению криптографических задач, мы еще могли понять, как работает компьютерная система. Все это происходило с далекую эпоху DOS. В вашем распоряжении имелось 640 Кбайт оперативной памяти, и вы могли одновременно запускать на выполнение только одну программу. Сегодня я плохо ориентируюсь в том, какие именно процессы проистекают в моем портативном компьютере. Вероятно, и вы имеете об этом довольно слабое представление. Закон Мура сделал компьютерные системы тучными, и когда вы, невзирая ни на что, пытаетесь сохранить свою информацию в тайне, добиться этого очень сложно.
Развитие криптографии часто сопровождается своеобразной «гонкой вооружений». Люди, стремящиеся обеспечить более стойкое шифрование, противостоят лагерю, желающему взломать эти шифры. Имеет ли смысл вообще дискутировать на эту тему?
В основу современных алгоритмов шифрования положены невероятно стойкие математические методы. Именно на этом и сосредоточено внимание большинства людей: «У нас имеется действительно прочный кирпич. И если мы построим стену, в которую мы положим этот кирпич, она тоже окажется по-настоящему прочной». Источники осложнений скрываются в деталях реализации и сочетании компонентов информационных систем. Люди, очарованные мощью криптографических методов и алгоритмов, не уделяют внимания другим вещам. Это в конечном итоге и приводит к провалу.
Говоря об «уязвимости», вы имеете в виду в основном безопасность приложений. Если бы в вашей компании приложения разрабатывались своими силами, какие меры вы предприняли бы для снижения этой уязвимости?
Я посоветовал бы инженерам отступить на шаг назад и подумать, как бы атаковали систему они? Разрушение требует иного менталитета, нежели созидание. Вы начинаете искать нить, которая позволит вам проникнуть внутрь, и изучаете то, что может пригодиться при решении данной задачи.
Постарайтесь построить приложение таким образом, чтобы оно не нуждалось в сложных средствах безопасности. Если вы размещаете в Web приложение, которое может подвергнуться атакам извне, просто исключите из него функции, из-за которых приложение подвергается риску.
А что можно сказать о мобильных устройствах? Корпорация Microsoft представила новую версию операционной системы Windows Mobile. Повторят ли создатели мобильных платформ те же ошибки, которые они допустили при создании систем для настольных компьютеров?
Думаю, Microsoft, скорее всего, пойдет тем же путем, которого она придерживалась в сфере ПК, хотя в мобильном секторе вопросы безопасности пока стоят не столь остро, потому что до сих пор мобильные устройства не привлекали серьезного внимания взломщиков.
Здесь есть некая точка перегиба, о которой люди почти никогда не задумываются до тех пор, пока не подойдут к ней вплотную. Это рубеж, на котором атаки системы приобретают реальный смысл. Вы достигаете порога, за которым злоумышленник понимает, что взлом вашей системы может принести ему больше денег, чем любое другое занятие. Здесь-то и возникает фактор риска.
Когда вы оснащаете свое мобильное устройство новыми функциями, в голове у нечистых на руку людей срабатывает сигнал. Они начинают понимать, что на этом можно получить, скажем, 15 млн. долл., тогда как на нынешней работе — всего 80 тыс. Просто мы не знаем, когда в конце концов это случится: завтра или еще через десять лет.