Неліктен криптография? Менің өзім бұл туралы өте үстірт білімім бар. Иә, мен классикалық шығарманы оқыдым , бірақ өте ұзақ уақыт бұрын; Иә, мен симметриялық және асимметриялық шифрлау арасындағы айырмашылықты түсінемін, эллиптикалық қисықтардың не екенін түсінемін, бірақ солай. Оның үстіне, қолданыстағы криптографиялық кітапханалар алгоритмнің толық атауын әр функцияның атауына қосу және көптеген инициализаторлар таңбасы бар, бағдарламашы ретінде маған қорқынышты соққы береді.
Неліктен? Мүмкін, деректерді қорғау, құпия ақпарат және т. білдіреді (криптография). Бұл туралы айтайық, мен дәуір ашатын жаңалықтарға, сондай-ақ нақты ұсыныстарға уәде бермеймін, бос ойлар тек мынау: бос.
Кішкене тарих, сәл ғана
1976 жылы АҚШ симметриялық шифрлау алгоритмдерінің федералдық стандартын қабылдады - DES. Бұл деректерді қорғауға бизнестің өсіп келе жатқан сұраныстарына жауап ретінде жасалған бірінші жалпыға ортақ және стандартталған криптографиялық алгоритм болды.
Сақалды қызығушылық
Алгоритм қателікпен жарияланған. Ол аппараттық құралдарды енгізу үшін оңтайландырылған және бағдарламалық қамтамасыз етуді енгізу үшін тым күрделі және тиімсіз болып саналды. Дегенмен, Мур заңы бәрін өз орнына қойды.
Бұл оқиғаның соңы болып көрінетін сияқты, оны алыңыз, шифрлаңыз, шифрын шешіңіз, қажет болса, кілттің ұзындығын көбейтіңіз. Мүмкін сіз американдықтар онда бетбелгілер қалдырғанын нақты білесіз, сонда сіз үшін ресейлік аналогы бар - , сіз одан да аз сенетін шығарсыз. Содан кейін екеуін де бірінің үстіне бірін қолданыңыз. Егер сіз ФБР мен ФСБ сіз үшін бірігіп, бетбелгілерімен алмасты деп ойласаңыз, менің сізге жақсы жаңалығым бар - сіз параноид емессіз, сізде салтанатты адасушылық бар.
Симметриялық шифрлау қалай жұмыс істейді? Екі қатысушы да құпия сөз ретінде белгілі бір кілтті біледі және онымен шифрланған нәрсені де онымен шешуге болады. Схема шпиондар үшін өте жақсы жұмыс істейді, бірақ қазіргі Интернет үшін мүлдем жарамсыз, өйткені бұл кілт алдын-ала әңгімелесушілердің әрқайсысына берілуі керек. Біраз уақыт бұрын белгілі серіктеспен байланысу кезінде салыстырмалы түрде аз компаниялар өз деректерін қорғағанымен, мәселе курьерлер мен қауіпсіз поштаның көмегімен шешілді, бірақ кейін Интернет кең таралып, суретке түсті.
Асимметриялық криптография
мұнда екі кілт қатысады: қоғамдық, ол құпия сақталмайды және ешкімге хабарланады; Және жеке, оны тек иесі біледі. Ашық кілтпен шифрланған нәрсені тек жеке кілтпен шешуге болады және керісінше. Осылайша, кез келген адам алушының ашық кілтін біліп, оған хабарлама жібере алады, оны тек алушы оқиды. Мәселе шешілген сияқты ма?
бірақ интернет бұлай жұмыс істемейді, мәселе толық күшінде туындайды аутентификация және әсіресе, бастапқы аутентификация, және қандай да бір мағынада қарама-қарсы мәселе анонимдік. Қысқасы, мен сөйлесіп отырған адам шынымен мен сөйлескім келген адам екеніне қалай сенімді бола аламын? және мен пайдаланып жатқан ашық кілт шынымен мен сөйлесетін адамға тиесілі ме? Әсіресе, егер мен онымен бірінші рет сөйлесіп тұрмын? Анонимділігін сақтай отырып, серіктесіңізге сенімділікті қалай оятуға болады? Мұнда қазірдің өзінде мұқият қарасаңыз, ішкі қайшылықты байқауға болады.
Қатысушылар арасындағы өзара әрекеттестіктің қандай үлгілері бар екенін және тәжірибеде қолданылатынын жалпы түрде қарастырайық:
- сервер - сервер (немесе бизнес - бизнес, бұл контексте олар бірдей нәрсе): бұл симметриялық криптография жеткілікті болатын қарапайым классикалық схема, қатысушылар бір-бірімен, соның ішінде желіден тыс контактілерді де біледі. Дегенмен, біз бұл жерде тіпті анонимділік туралы айтпағанымызды және қатысушылардың саны қатаң түрде екі адаммен шектелетінін ескеріңіз. Яғни, бұл өте шектеулі байланыс саны үшін тамаша дерлік схема және, жалпы жағдайда, аз пайдаланатыны анық.
- сервер - анонимді (немесе бизнес - клиент): бұл жерде асимметриялық криптография сәтті қызмет ететін кейбір асимметрия бар. Мұндағы басты мәселе – клиенттің аутентификациясының жоқтығы, сервер нақты кіммен деректер алмасатынына мән бермейді; кенеттен қажет болса, сервер жүргізеді екіншілік аутентификация алдын ала келісілген құпия сөзді пайдалану, содан кейін бәрі алдыңғы жағдайға түседі. Екінші жағынан, клиент маңызды сервердің аутентификациясы, ол оның деректері оны жіберген адамға дәл жететініне сенімді болғысы келеді, бұл жағы іс жүзінде сертификат жүйесіне негізделген. Жалпы алғанда, бұл схема https:// протоколымен өте ыңғайлы және ашық түрде қамтылған, бірақ криптография мен әлеуметтану қиылысында бірнеше қызықты нүктелер туындайды.
- серверге сену: тіпті кейбір ақпаратты солтүстікке мүлдем қауіпсіз түрде жіберген болсам да, техникалық тұрғыдан бөгде адамдар оған қол жеткізе алады. Бұл мәселе шифрлау шеңберінен мүлдем тыс, бірақ мен осы тармақты есте сақтауыңызды сұраймын, ол кейінірек пайда болады.
- сервер сертификатына сенім: сертификаттардың иерархиясы белгілі бір фактіге негізделген түбірі лайықты сертификат абсолютті сенім. Техникалық тұрғыдан алғанда, жеткілікті ықпалды шабуылдаушы [шабуылдаушы сөзін бар үкіметке жала немесе қорлау ретінде емес, техникалық термин ретінде қарастырыңыз] кез келген төменгі деңгейдегі сертификатты алмастыра алады, бірақ сертификаттау жүйесі барлығына қажет деп есептеледі. бірдей, яғни. бұл куәландырушы дереу шеттетіледі және оның барлық сертификаттары күшін жояды. Бұл солай, бірақ жүйенің техникалық құралдарға емес, қандай да бір әлеуметтік келісімшартқа негізделгенін ескеріңіз. Айтпақшы, ыстық туралыRuNet-тің күтілетін ақырзаманының бір бөлігі ретінде біреу ресейлік түбірлік сертификаттың ықтимал күшіктерін және оның салдарын талдады ма? Егер кімде-кім осы тақырыпты оқыған/жазған болса, маған сілтеме жіберіңіз, мен оларды қосамын, менің ойымша, тақырып қызықты
- серверде жанама анонимизация: сонымен қатар ауыр тақырып, тіпті серверде ресми тіркеу/аутентификация болмаса да, клиент туралы ақпаратты жинаудың және ақырында оны анықтаудың көптеген жолдары бар. Меніңше, мәселенің түп-төркіні бар http:// хаттамасында және соған ұқсас басқаларда, күткендей мұндай ашу-ызаны болжай алмаған сияқты; және бұл пункцияларсыз параллель хаттаманы құру әбден мүмкін болатын. Дегенмен, бұл барлық қолданыстағы монетизация тәжірибелеріне қайшы келеді және сондықтан екіталай. Әлі де ойланып отырмын, біреу оны сынап көрді ме?
- анонимді - анонимді: екі адам желіде кездеседі, (нұсқа - жаңа ғана кездесті), (нұсқа - екі емес, екі мың) және өз заттары туралы сөйлескісі келеді, бірақ осылайша Аға естіген жоқ (нұсқа: анам білмеді, әркімнің өз басымдықтары бар). Сіз менің дауысымнан иронияны естисіз, бірақ бұл солай. Есепке Шнайер постулатын қолданайық (жеткілікті ресурстар инвестицияланған болса, кез келген алгоритмді бұзуға болады, яғни ақша мен уақыт). Осы тұрғыдан алғанда, мұндай топқа әлеуметтік әдістермен ену ешқандай қиындық тудырмайды, ақшаны айтпағанда, алгоритмнің криптографиялық күшін білдіреді. нөлдік ең күрделі шифрлау әдістерімен.
Алайда, бұл жағдайда бізде екінші тірек бар - анонимдік, және біз оған бар үмітімізді артамыз, тіпті бізді бәрі білсе де, бізді ешкім таба алмайды. Дегенмен, ең заманауи техникалық қорғау әдістерімен сізде мүмкіндік бар деп ойлайсыз ба? Еске сала кетейін, мен қазір тек анонимизация туралы айтып отырмын, біз деректерді қорғауды сенімді түрде жойған сияқтымыз. Түсінікті болу үшін, атыңыз белгілі болса, келісіп алайық немесе үй мекенжайы немесе IP мекенжайы, сайлауға қатысу толық орындалмады.
IP туралы айтатын болсақ, бұл жерде жоғарыда айтылғандар ойнайды серверге сену, ол сіздің IP-ді күмәнсіз біледі. Мұнда бәрі сізге қарсы ойнайды - қарапайым адамдық қызығушылық пен бос әурешіліктен бастап, корпоративтік саясат пен бірдей монетизацияға дейін. VPS және VPN де серверлер екенін есте сақтаңыз, криптография теоретиктері үшін бұл қысқартулар қандай да бір түрде маңызды емес; Иә, және сервердің юрисдикциясы үлкен қажеттілік жағдайында рөл атқармайды. Бұған сонымен қатар соңына дейін шифрлау кіреді - бұл жақсы және берік естіледі, бірақ сервер әлі де бұл үшін өз сөзін қабылдауы керек.
Мұндай мессенджердегі сервердің жалпы рөлі қандай? Біріншіден, пошташы үшін, егер алушы үйінде болмаса, кейінірек қайта келуі тривиальды. Сонымен қатар, және бұл әлдеқайда маңызды, бұл кездесу нүктесі, сіз хатты тікелей алушыға жібере алмайсыз, оны әрі қарай жіберу үшін серверге жібересіз. Ең бастысы, сервер жүргізеді қажетті аутентификация, барлығына сіз екеніңізді және сізге - сіздің сұхбаттасыңыз шынымен сізге қажет екенін растау. Және ол мұны сіздің телефоныңыз арқылы жасайды.
Хабаршы сіз туралы тым көп біледі деп ойламайсыз ба? Жоқ, жоқ, әрине, біз оған сенеміз (және айтпақшы, біздің телефонымыз да, хмм), бірақ криптографтар мұның бекер екеніне, ешкімге мүлдем сене алмайтынымызға сендіреді.
Сенбедіңіз бе? Бірақ сол әлеуметтік инженерия да бар, егер сізде топта жүз әңгімелесуші болса, олардың 50% -ы жау, 49% -ы бос, ақымақ немесе жай ғана немқұрайлы деп болжауға тура келеді. Ал қалған бір пайыз, сіз ақпараттық қауіпсіздік әдістеріне қаншалықты күшті болсаңыз да, чатта жақсы психологқа қарсы тұра алмайсыз.
Жалғыз қорғаныс стратегиясы миллиондаған ұқсас топтардың арасында адасып кету сияқты, бірақ бұл енді біз туралы емес, тағы да интернеттегі атақ пен монетизацияны қажет етпейтін кейбір тыңшы-террористер туралы.
Менің ойымша, мен қоғамның заманауи үлгісінде деректерді қорғау туралы қатал ойларымды қандай да бір түрде дәлелдедім (жоқ, мен дәлелдеген жоқпын, мен жай ғана дәлелдедім). Қорытындылар қарапайым, бірақ қайғылы - біз деректерді шифрлаудың бізде бар көмекке қарағанда көбірек көмегіне сенбеуіміз керек, криптография қолынан келгеннің бәрін жасады және жақсы жасады, бірақ біздің Интернет моделі біздің жеке өмірге деген ұмтылысымызға толығымен қайшы келеді және біздің барлық күш-жігерімізді жоққа шығарады. . Шындығында, мен ешқашан пессимист емеспін және мен қазір жарқын нәрсе айтқым келеді, бірақ мен не екенін білмеймін.
Келесі бөлімді қарастыруға тырысыңыз, бірақ мен сізге ескертемін - мүлдем қызғылт түсті ғылыми емес қиялдар бар, бірақ олар біреуді сендіреді және кем дегенде біреуді қызықтырады.
Бірдеңе жасауға болады ма?
Мысалы, санаңызды босатып, теріс пікірді тастау арқылы осы тақырып туралы ойланыңыз. Мысалы, уақытша толығымен алайық анонимділікті құрбан етейік, ол қаншалықты қорқынышты естілсе де. Әркімге туғаннан бірегей жеке ашық кілт берілсін, және, әрине, сәйкес жеке кілт. Маған айқайлап, аяғыңызды таптаудың қажеті жоқ, идеалды дүние бұл өте ыңғайлы - мұнда сіздің төлқұжатыңыз, салықтың сәйкестендіру нөмірі және тіпті бір бөтелкеде телефон нөмірі бар. Сонымен қатар, егер сіз бұған жеке куәлікті қоссаңыз, сіз әмбебап аутентификация/логин аласыз; сонымен қатар кез келген құжаттарды куәландыру мүмкіндігі бар қалталы нотариус. Сіз жүйені көп деңгейлі ете аласыз - тек ашық кілт пен сертификат жалпыға қолжетімді, достар үшін (кілттер тізімі осында тіркелген) телефоныңызды қол жетімді ете аласыз және олар достарға тағы не сенеді, одан да тереңірек болуы мүмкін. деңгейлері бар, бірақ бұл серверге қажетсіз сенімді білдіреді.
Бұл схема арқылы берілетін ақпараттың құпиялылығына автоматты түрде қол жеткізіледі (бірақ екінші жағынан, неге, идеалды әлемде?), Алиса Бобқа бірдеңе жазады, бірақ оны Бобтың өзінен басқа ешкім ешқашан оқымайды. Барлық мессенджерлер автоматты түрде шифрлауды алады, олардың рөлі пошта жәшіктеріне дейін азаяды және, негізінен, мазмұнға шағымдар болмайды. Серверлердің өзі бір-бірін алмастырады, сіз біреуі арқылы немесе екіншісі арқылы, тіпті электрондық пошта сияқты серверлер тізбегі арқылы жіберуге болады. Сондай-ақ, егер сіз оның IP мекенжайын білсеңіз, ешқандай делдалдармен байланыспай-ақ, оны алушыға тікелей жібере аласыз. Бұл керемет емес пе? Бұл керемет уақытта өмір сүрудің қажеті болмайтыны өкінішті - мен үшін де, сіз үшін де. Иә, мен тағы да қайғылы нәрселер туралы айтып отырмын.
Енді мұның бәрін қайда сақтау керек? Менің басымнан тыс, ашық иерархиялық жүйені жасаңыз, қазіргі DNS сияқты, тек күштірек және кеңірек. Түбірлік DNS әкімшілеріне толықтырулар мен өзгертулермен ауыртпалық түсірмеу үшін сіз тегін тіркеуді жасай аласыз, жалғыз қажетті тексеру бірегейлік болып табылады. Ұнату >> " Сәлеметсіз бе, біз бес адамбыз, Ивановтар отбасы. Міне, біздің есімдер/лакаптар, міне, ашық кілттер. Егер біреу сұраса, бізге жіберіңіз. Міне, біздің аудандағы жүз бес жүз әжелердің тізімі кілттерімен бірге, сұраса, бізге де жіберіңіз.«
Сізге мұндай үй серверін орнатуды және конфигурациялауды өте қарапайым және ыңғайлы етіп жасау керек, сонда кез келген адам оны қалайтынын анықтай алады, тағы да ешкім ресми мемлекеттік серверлерді қайта жүктемейді.
Тоқтату!, бірақ оған мемлекеттің не қатысы бар?
Бірақ енді анонимдікті мұқият қалпына келтіруге болады. Егер кез келген адам өзі үшін жеке кілтті жасап, оны жеке сертификатпен растай алатын болса және өзі үшін төменгі деңгейлі CA серверін орната алатын болса немесе көршісінен немесе әлдебір қоғамдық серверден сұраса, бұл ресмиліктің бәрі не үшін қажет? Содан кейін нақты кейіпкерге, толық құпиялылыққа, қауіпсіздікке және анонимділікке қосылудың қажеті жоқ. Иерархияның басында сенімді біреу болса жеткілікті, біз TM немесе Let's Encrypt-ке сенеміз, ал белгілі қоғамдық DNS әлі ешкімді далаға жіберген жоқ. Шенеуніктерден де арыз-шағым болмауы керек сияқты, яғни, әрине, шағым болады, бірақ не үшін?
Бәлкім, бір күні осындай жүйе немесе соған ұқсас нәрсе жасалатын шығар. Әрине, бізде өзімізден басқа сенім артатын ешкім жоқ, маған белгілі мемлекеттердің ешқайсысы мұндай жүйені құрмайды. Бақытымызға орай, бұрыннан бар Telegram, i2p, Tor және мен ұмытып кеткен басқа біреу, мүмкін емес ештеңе жоқ екенін көрсетеді. Бұл біздің желі, қазіргі жағдайға көңіліміз толмаса, оны жабдықтауымыз керек.
Бррр, мен байқаусызда аянышты нотамен аяқтадым. Шындығында, маған бұл ұнамайды, мен қалай болғанда да сарказмды жақсы көремін.
PS: Мұның бәрі, әрине, қызғылт снота және қыздың армандары
PPS: бірақ кенеттен біреу оны көргісі келсе, маған лақап ат қойыңыз өтінемін, мен үйреніп қалдым
PPPS: Айтпақшы, іске асыру өте қарапайым болып көрінеді
Ақпарат көзі: www.habr.com