Ինչու՞ գաղտնագրություն: Ես ինքս դրա մասին բավականին մակերեսային գիտելիքներ ունեմ։ Այո, ես կարդացել եմ դասական ստեղծագործությունը , բայց շատ վաղուց; Այո, ես հասկանում եմ սիմետրիկ և ասիմետրիկ գաղտնագրման տարբերությունը, ես հասկանում եմ, թե ինչ են էլիպսային կորերը, բայց դա այն է: Ավելին, գոյություն ունեցող կրիպտոգրաֆիկ գրադարանները, իրենց գեղեցիկ սովորությամբ՝ ներառելով ալգորիթմի ամբողջական անվանումը յուրաքանչյուր ֆունկցիայի անվան մեջ և մի շարք սկզբնավորիչներ, որոնք դուրս են մնում, ինձ ահավոր անհանգստություն է պատճառում որպես ծրագրավորող:
Ուրեմն ինչու? Հավանաբար այն պատճառով, որ կարդալով տվյալների պաշտպանության, գաղտնի տեղեկատվության և այլնի վերաբերյալ հրապարակումների ներկա ալիքը, ես զգում եմ, որ ինչ-որ տեղ սխալ տեղում ենք փորփրում, իսկ ավելի կոնկրետ՝ փորձում ենք էապես սոցիալական խնդիրներ լուծել տեխնիկական օգնությամբ։ նշանակում է (գաղտնագրություն) . Եկեք խոսենք այս մասին, ես չեմ խոստանում դարաշրջանային բացահայտումներ, ինչպես նաև կոնկրետ առաջարկներ, պարապ մտքերը հենց դա են՝ պարապ:
Մի քիչ պատմություն, ընդամենը մի քիչ
1976 թվականին Միացյալ Նահանգները ընդունեց սիմետրիկ գաղտնագրման ալգորիթմների դաշնային ստանդարտ՝ DES: Դա առաջին հանրային և ստանդարտացված գաղտնագրային ալգորիթմն էր, որը ստեղծվել է ի պատասխան տվյալների պաշտպանության աճող բիզնեսի պահանջների:
Մորուքավոր հետաքրքրասիրություն
Ալգորիթմը սխալմամբ է հրապարակվել։ Այն օպտիմիզացված էր ապարատային ներդրման համար և համարվում էր չափազանց բարդ և անարդյունավետ ծրագրային ապահովման ներդրման համար: Այնուամենայնիվ, Մուրի օրենքը արագորեն ամեն ինչ դրեց իր տեղը:
Թվում է, թե պատմվածքի վերջը, վերցրեք այն, գաղտնագրեք, վերծանեք, անհրաժեշտության դեպքում ավելացրեք բանալի երկարությունը: Միգուցե դուք հաստատ գիտեք, որ ամերիկացիները դրա մեջ էջանիշեր են թողել, ապա ձեզ համար կա ռուսական անալոգ. , որին, հավանաբար, ավելի քիչ եք վստահում։ Այնուհետեւ օգտագործեք երկուսն էլ՝ մեկը մյուսի վրա: Եթե կարծում եք, որ ՀԴԲ-ն և ԱԴԾ-ն միավորվել են հանուն ձեզ և փոխանակել են իրենց էջանիշները, ապա ես ձեզ համար լավ լուր ունեմ՝ դուք պարանոյիկ չեք, դուք ունեք վեհության բանական մոլորություն։
Ինչպե՞ս է գործում սիմետրիկ գաղտնագրումը: Երկու մասնակիցներն էլ գիտեն նույն բանալին, որը հայտնի է նաև որպես գաղտնաբառ, և այն, ինչ դրանով գաղտնագրված է, կարող է նաև վերծանվել դրանով: Սխեման հիանալի է աշխատում լրտեսների համար, բայց լիովին անպիտան է ժամանակակից ինտերնետի համար, քանի որ այս բանալին պետք է նախապես փոխանցվի զրուցակիցներից յուրաքանչյուրին: Որոշ ժամանակ, մինչդեռ համեմատաբար քիչ ընկերություններ պաշտպանում էին իրենց տվյալները նախկինում հայտնի գործընկերոջ հետ շփվելիս, խնդիրը լուծվում էր սուրհանդակների և անվտանգ փոստի օգնությամբ, բայց հետո ինտերնետը լայն տարածում գտավ և հայտնվեց պատկերի մեջ:
Ասիմետրիկ ծածկագրություն
որտեղ ներգրավված են երկու բանալին. հանրային, որը գաղտնի չի պահվում և հաղորդվում է որևէ մեկին. Եվ մասնավոր, որը գիտի միայն նրա տերը։ Այն, ինչ գաղտնագրված է հանրային բանալիով, կարող է վերծանվել միայն մասնավոր բանալիով և հակառակը: Այսպիսով, յուրաքանչյուրը կարող է պարզել ստացողի հանրային բանալին և նրան հաղորդագրություն ուղարկել, միայն ստացողը կկարդա այն։ Թվում է, թե խնդիրը լուծվա՞ծ է։
Սակայն ինտերնետն այդպես չի աշխատում, խնդիրն առաջանում է ամբողջ ուժով իսկությունը և հատկապես, նախնական նույնականացում, և ինչ-որ առումով հակառակ խնդիրը անանունություն. Մի խոսքով, ինչպե՞ս կարող եմ վստահ լինել, որ այն մարդը, ում հետ ես խոսում եմ, իսկապես այն մարդն է, ում հետ ես մտադիր էի խոսել: իսկ հանրային բանալին, որը ես օգտագործում եմ, իրականում պատկանում է այն անձին, ում հետ պատրաստվում էի խոսել: Հատկապես եթե առաջին անգամ եմ շփվում նրա հետ։ Իսկ ինչպե՞ս կարող եք վստահություն սերմանել ձեր գործընկերոջ մեջ՝ պահպանելով անանունությունը: Արդեն այստեղ, եթե ուշադիր նայեք, կարող եք նկատել ներքին հակասություն։
Եկեք ընդհանուր առմամբ նայենք, թե մասնակիցների միջև փոխգործակցության ինչպիսի օրինաչափություններ կան և օգտագործվում են գործնականում.
- սերվեր - սերվեր (կամ բիզնես - բիզնես, այս համատեքստում դրանք նույնն են). սա ամենապարզ դասական սխեման է, որի համար սիմետրիկ ծածկագրությունը բավական է, մասնակիցները գիտեն ամեն ինչ միմյանց մասին, ներառյալ ցանցից դուրս կոնտակտները: Այնուամենայնիվ, խնդրում ենք նկատի ունենալ, որ այստեղ մենք նույնիսկ չենք խոսում որևէ անանունության մասին, և մասնակիցների թիվը խստորեն սահմանափակված է երկուսով: Այսինքն, սա գրեթե իդեալական սխեմա է չափազանց սահմանափակ թվով հաղորդակցությունների համար և, ընդհանուր դեպքում, ակնհայտորեն քիչ օգուտ ունի:
- սերվեր - անանուն (կամ բիզնես - հաճախորդ). այստեղ կա որոշակի անհամաչափություն, որը հաջողությամբ սպասարկվում է ասիմետրիկ ծածկագրման միջոցով: Այստեղ առանցքային կետը հաճախորդի նույնականացման բացակայությունն է, սերվերին չի հետաքրքրում, թե կոնկրետ ում հետ է այն փոխանակում տվյալները. եթե հանկարծ անհրաժեշտ է, սերվերը վարում է երկրորդական վավերացում օգտագործելով նախապես համաձայնեցված գաղտնաբառ, իսկ հետո ամեն ինչ հանգում է նախորդ դեպքին: Մյուս կողմից՝ հաճախորդը էական սերվերի նույնականացում, նա ցանկանում է վստահ լինել, որ իր տվյալները հասնում են հենց այն անձին, ում նա ուղարկել է դրանք, այս կողմը գործնականում հիմնված է վկայագրի համակարգի վրա: Ընդհանուր առմամբ, այս սխեման բավականին հարմար և թափանցիկ ծածկված է https:// արձանագրությամբ, բայց մի քանի հետաքրքիր կետեր առաջանում են ծածկագրության և սոցիոլոգիայի խաչմերուկում:
- վստահել սերվերին. նույնիսկ եթե ես որոշ տեղեկություններ եմ ուղարկել հյուսիս բացարձակապես անվտանգ ճանապարհով, տեխնիկապես կողմնակի մարդիկ այնտեղ մուտք ունեն: Այս խնդիրը լիովին դուրս է գաղտնագրման շրջանակից, բայց ես խնդրում եմ ձեզ հիշել այս կետը, այն կհայտնվի ավելի ուշ:
- վստահություն սերվերի վկայականի նկատմամբ. վկայագրերի հիերարխիան հիմնված է այն փաստի վրա, որ կա որոշակի արմատ արժանի վկայական բացարձակ վստահություն. Տեխնիկապես բավական ազդեցիկ հարձակվողը [խնդրում եմ, հարձակվող բառը դիտարկել որպես տեխնիկական տերմին, այլ ոչ որպես զրպարտություն կամ վիրավորանք գործող իշխանությանը] կարող է փոխարինել ցանկացած ցածր մակարդակի վկայական, սակայն ենթադրվում է, որ հավաստագրման համակարգը անհրաժեշտ է բոլորին։ հավասարապես, այսինքն. այս հավաստագիրն անմիջապես կհեռացվի, և նրա բոլոր վկայականները կչեղարկվեն: Այնպես որ, այդպես է, բայց այնուամենայնիվ նշեք, որ համակարգը հիմնված է ոչ թե տեխնիկական միջոցների, այլ ինչ-որ սոցիալական պայմանագրի վրա։ Ի դեպ, թեժի մասինՈրպես RuNet-ի ակնկալվող դատաստանի օրվա մի մաս, որևէ մեկը վերլուծե՞լ է ռուսական արմատային սերտիֆիկատի հնարավոր ձագումը և դրա հետևանքները: Եթե որևէ մեկը կարդացել է/գրել է այս թեմայով, ինձ հղումներ ուղարկի, ես կավելացնեմ, կարծում եմ թեման հետաքրքիր է
- Սերվերի վրա անուղղակի անանունացում. նաև ցավոտ թեմա, նույնիսկ եթե սերվերը չունի պաշտոնական գրանցում/վավերականացում, հաճախորդի մասին տեղեկություններ հավաքելու և, ի վերջո, նրան նույնականացնելու բազմաթիվ եղանակներ կան: Ինձ թվում է, որ խնդրի արմատը գոյություն ունեցող http://-ի և դրա նման այլ արձանագրության մեջ է, որը, ինչպես և սպասվում էր, չէր կարող կանխատեսել նման վրդովմունք; և որ միանգամայն հնարավոր կլիներ ստեղծել զուգահեռ արձանագրություն առանց այդ ծակումների: Այնուամենայնիվ, սա հակասում է դրամայնացման բոլոր գործող պրակտիկային և, հետևաբար, քիչ հավանական է: Դեռևս հետաքրքրվում է, արդյոք որևէ մեկը փորձել է այն:
- անանուն - անանուն. երկու հոգի հանդիպում են առցանց, (տարբերակ - հենց նոր հանդիպեցի), (տարբերակ - ոչ թե երկու, այլ երկու հազար) և ցանկանում են զրուցել իրենց իրերի մասին, բայց այնպես, որ Մեծ եղբայր չեմ լսել (տարբերակ. մայրիկը չի պարզել, յուրաքանչյուրն ունի իր առաջնահերթությունները): Դուք կարող եք լսել հեգնանք իմ ձայնում, բայց դա այն պատճառով է, որ դա այն է, ինչ կա: Խնդրի նկատմամբ կիրառենք Շնայերի պոստուլատը (ցանկացած ալգորիթմ կարող է կոտրվել, եթե ներդրվեն բավարար ռեսուրսներ, այսինքն՝ փող և ժամանակ)։ Այս տեսանկյունից սոցիալական մեթոդներով նման խումբ ներթափանցելը որևէ դժվարություն չի ներկայացնում, էլ չեմ խոսում փողի մասին, այսինքն՝ ալգորիթմի գաղտնագրային ուժը։ զրո գաղտնագրման ամենաբարդ մեթոդներով:
Այնուամենայնիվ, այս գործի համար մենք ունենք երկրորդ բաստիոն. անանունությունը, և մենք մեր բոլոր հույսերը դնում ենք նրա վրա, նույնիսկ եթե բոլորը մեզ ճանաչում են, բայց ոչ ոք չի կարող գտնել մեզ։ Այնուամենայնիվ, պաշտպանության ամենաժամանակակից տեխնիկական մեթոդներով լրջորեն կարծում եք, որ հնարավորություն ունեք: Հիշեցնեմ, որ ես հիմա խոսում եմ միայն անանունացման մասին, կարծես թե մենք արդեն համոզիչ կերպով վերացրել ենք տվյալների պաշտպանությունը։ Պարզ լինելու համար, եկեք համաձայնենք, որ եթե ձեր անունը հայտնի դառնա կամ Տան հասցե կամ IP հասցե, մասնակցությունն ամբողջությամբ ձախողվեց:
Խոսելով ip-ի մասին, այստեղ է, որ վերը նշվածը գործում է վստահել սերվերին, նա գիտի ձեր IP-ն առանց կասկածի։ Եվ այստեղ ամեն ինչ ձեր դեմ է խաղում՝ պարզ մարդկային հետաքրքրասիրությունից և ունայնությունից մինչև կորպորատիվ քաղաքականություն և նույն դրամայնացում: Պարզապես հիշեք, որ VPS-ը և VPN-ը նույնպես սերվերներ են, ծածկագրության տեսաբանների համար այս հապավումները ինչ-որ տեղ անտեղի են. Այո, և մեծ անհրաժեշտության դեպքում սերվերի իրավասությունը դեր չի խաղում։ Սա նաև ներառում է ծայրից ծայր կոդավորումը. այն հնչում է գեղեցիկ և ամուր, բայց սերվերը դեռ պետք է ընդունի իր խոսքը:
Ո՞րն է սերվերի ընդհանուր դերը նման մեսենջերում: Նախ, փոստատարը, եթե հասցեատերը տանը չէ, ավելի ուշ նորից գալը չնչին է։ Բայց նաև, և սա շատ ավելի կարևոր է, սա հանդիպման կետն է, դուք չեք կարող նամակն ուղարկել անմիջապես ստացողին, այն ուղարկում եք սերվերին հետագա փոխանցման համար: Եվ ամենակարևորը, սերվերը վարում է անհրաժեշտ նույնականացում, բոլորին հաստատելով, որ դու դու ես, իսկ քեզ, որ քո զրուցակիցն իսկապես նա է, ով քեզ պետք է։ Եվ նա դա անում է ձեր հեռախոսի միջոցով:
Չե՞ք կարծում, որ ձեր սուրհանդակը չափազանց շատ բան գիտի ձեր մասին: Ոչ, ոչ, իհարկե, մենք հավատում ենք նրան (և, ի դեպ, մեր հեռախոսին միևնույն ժամանակ, հմմ), բայց կրիպտոգրաֆիստները մեզ վստահեցնում են, որ դա իզուր է, որ մենք ընդհանրապես ոչ մեկին չենք կարող վստահել:
Համոզված չե՞ք։ Բայց կա նաև նույն սոցիալական ինժեներությունը, եթե խմբում հարյուր զրուցակից ունես, ուղղակի պետք է ենթադրել, որ նրանց 50%-ը թշնամիներ են, 49%-ը կամ ունայն, հիմար, կամ ուղղակի անփույթ։ Իսկ մնացած մեկ տոկոսը, որքան էլ ուժեղ լինեք տեղեկատվական անվտանգության մեթոդներում, ամենայն հավանականությամբ, չատում չեք կարող դիմադրել լավ հոգեբանին։
Թվում է, թե միակ պաշտպանական ռազմավարությունը միլիոնավոր նմանատիպ խմբերի մեջ կորչելն է, բայց դա այլևս մեր մասին չէ, նորից որոշ լրտես-ահաբեկիչների, ովքեր կարիք չունեն առցանց փառքի կամ դրամայնացման:
Դե, ինձ թվում է, որ ես ինչ-որ կերպ հիմնավորել եմ (ոչ, ես չեմ ապացուցել, ես պարզապես հիմնավորել եմ) իմ կոշտ մտքերը տվյալների պաշտպանության մասին հասարակության ժամանակակից մոդելում: Եզրակացությունները պարզ են, բայց տխուր. մենք չպետք է հույս դնենք տվյալների գաղտնագրման ավելի շատ օգնության վրա, քան արդեն ունենք, գաղտնագրությունն արել է այն ամենը, ինչ կարող էր, և լավ արեց, բայց ինտերնետի մեր մոդելը լիովին հակասում է գաղտնիության մեր ցանկությանը և զրոյացնում է մեր բոլոր ջանքերը: . Իրականում, ես երբեք հոռետես չեմ և շատ կուզենայի հիմա ինչ-որ վառ բան ասել, բայց ուղղակի չգիտեմ՝ ինչ:
Փորձեք նայել հաջորդ բաժինը, բայց ես զգուշացնում եմ ձեզ. կան ամբողջովին վարդագույն ոչ գիտական երևակայություններ, բայց դրանք կարող են հանգստացնել որևէ մեկին և գոնե պարզապես զվարճացնել որևէ մեկին:
Հնարավո՞ր է ընդհանրապես որևէ բան անել:
Դե, օրինակ, մտածեք այս թեմայի շուրջ, ցանկալի է՝ ազատագրելով ձեր գիտակցությունը և դեն նետելով նախապաշարմունքները։ Օրինակ, եկեք ժամանակավորապես ամբողջությամբ եկեք զոհաբերենք անանունությունը, որքան էլ սարսափելի հնչի։ Թող բոլորին ծննդյան պահից տրվի եզակի անձնական հանրային բանալի, իսկ համապատասխան մասնավոր բանալի, իհարկե։ Կարիք չկա ինձ վրա բղավել և ոտքերդ խոթել, իդեալական աշխարհ սա չափազանց հարմար է. այստեղ դուք ունեք անձնագիր, հարկային նույնականացման համար և նույնիսկ հեռախոսահամար մեկ շշով: Ավելին, եթե դրան ավելացնեք անհատական վկայական, դուք կստանաք համընդհանուր վավերացուցիչ/մուտք; ինչպես նաև գրպանի նոտար՝ ցանկացած փաստաթուղթ վավերացնելու ունակությամբ։ Դուք կարող եք համակարգը դարձնել բազմամակարդակ. միայն հանրային բանալին և վկայականը հասանելի են, ընկերների համար (որոնց ստեղների ցանկը կցված է այստեղ) կարող եք հասանելի դարձնել հեռախոսը և ինչին նրանք վստահում են ընկերներին, կարող է լինել նույնիսկ ավելի խորը: մակարդակներում, բայց դա արդեն ենթադրում է անհարկի վստահություն սերվերի նկատմամբ:
Այս սխեմայով փոխանցված տեղեկատվության գաղտնիությունը ձեռք է բերվում ավտոմատ կերպով (թեև մյուս կողմից, ինչու՞ իդեալական աշխարհում), Ալիսը Բոբին ինչ-որ բան է գրում, բայց ոչ ոք երբեք չի կարդա այն, բացի ինքը՝ Բոբից։ Բոլոր մեսենջերներն ավտոմատ կերպով ստանում են ծայրից ծայր կոդավորում, նրանց դերը կրճատվում է փոստարկղերի վրա և, սկզբունքորեն, բովանդակության վերաբերյալ բողոքներ չեն կարող լինել։ Եվ սերվերներն իրենք են դառնում փոխանակելի, դուք կարող եք ուղարկել մեկի կամ մյուսի միջոցով, կամ նույնիսկ սերվերների շղթայի միջոցով, ինչպես էլ. Կարող եք նաև ուղարկել այն անմիջապես ստացողին, եթե նրա IP-ն հայտնի է՝ ընդհանրապես առանց որևէ միջնորդի կապվելու։ Հիանալի չէ՞: Ցավալի է, որ մենք ստիպված չենք լինի ապրել այս հրաշալի ժամանակում՝ ոչ ինձ, ոչ ձեզ համար: Nn-այո, նորից տխուր բաների մասին եմ խոսում:
Հաջորդը, որտեղ պահել այս ամենը: Դե, իմ գլխից դուրս, ստեղծեք բաց հիերարխիկ համակարգ, ներկայիս DNS-ի նման մի բան, միայն ավելի հզոր և ընդարձակ: Որպեսզի արմատային DNS ադմինիստրատորներին չծանրաբեռնեք հավելումներով և փոփոխություններով, կարող եք անվճար գրանցում կատարել, միակ անհրաժեշտ ստուգումը եզակիությունն է: Հավանել >>" Բարև, մենք հինգ հոգի ենք՝ Իվանովների ընտանիքը։ Ահա մեր անունները/մականունները, ահա հանրային բանալիները: Եթե որևէ մեկը հարցնում է, խնդրում ենք ուղարկել մեզ: Եվ ահա հարյուր հինգ հարյուր տատիկների ցուցակը մեր տարածքից՝ իրենց բանալիներով, եթե խնդրեն, ուղարկե՛ք մեզ էլ։«
Պարզապես անհրաժեշտ է նման տնային սերվերի տեղադրումն ու կազմաձևումը չափազանց պարզ և հարմար դարձնել, որպեսզի յուրաքանչյուրը կարողանա դա պարզել, եթե ցանկանա, նորից ոչ ոք ևս մեկ անգամ չի բեռնի որևէ պաշտոնական պետական սերվեր:
Դադարեցրեք այն:, բայց այդ դեպքում պետությունն ի՞նչ գործ ունի։
Բայց հիմա դուք կարող եք զգուշորեն վերականգնել անանունությունը: Եթե որևէ մեկը կարող է ստեղծել անձնական բանալի իր համար և հաստատել այն անհատական վկայականով և տեղադրել ավելի ցածր մակարդակի CA սերվեր իր համար, կամ հարցնել հարևանին կամ որևէ հանրային սերվերի, ինչո՞ւ է այս ամբողջ պաշտոնականությունը անհրաժեշտ: Եվ հետո կարիք չկա կապվել իրական կերպարի, ամբողջական գաղտնիության, անվտանգության և անանունության հետ: Բավական է, որ հիերարխիայի սկզբում վստահելի մեկը լինի, լավ, մենք հավատում ենք TM-ին կամ Let's Encrypt-ին, իսկ հայտնի հանրային DNS-ները դեռ ոչ մեկին չեն ուղարկել տափաստան։ Դժգոհություններ կարծես թե չկան նաև չինովնիկների կողմից, այսինքն՝ բողոքներ իհարկե կլինեն, բայց ինչի՞ համար։
Միգուցե մի օր նման համակարգ կամ նման մի բան ստեղծվի։ Եվ իհարկե, մենք մեզնից բացի ուրիշի վրա հույս չունենք, ինձ հայտնի պետություններից ոչ մեկը նման համակարգ չի կառուցի։ Բարեբախտաբար, արդեն գոյություն ունեցող Telegram-ը, i2p-ը, Tor-ը և հավանաբար մեկ ուրիշը, ում ես մոռացել եմ, ցույց են տալիս, որ սկզբունքորեն անհնարին ոչինչ չկա: Սա մեր ցանցն է, և մենք պետք է այն սարքավորենք, եթե մեզ չի բավարարում գործերի ներկա վիճակը։
Բռռռ, ես պատահաբար ավարտեցի պաթետիկ նոտայի վրա: Իրականում սա ինձ դուր չի գալիս, ես ինչ-որ կերպ նախընտրում եմ սարկազմը:
Հ.Գ. այս ամենը, իհարկե, վարդագույն մռութ ու աղջիկական երազանքներ են
PPS: Բայց եթե հանկարծ ինչ-որ մեկը որոշի փորձել, ինձ համար մականուն վերապահիր խնդրում եմ, ես սովոր եմ դրան
PPPS. և իրականացումը, ի դեպ, բավականին պարզ է թվում
Source: www.habr.com