KÄpÄc kriptogrÄfija? Man paÅ”am par to ir diezgan virspusÄjas zinÄÅ”anas. JÄ, es lasÄ«ju klasisko darbu
Tad kÄpÄc? IespÄjams tÄpÄc, ka, lasot kÄrtÄjo publikÄciju vilni par datu aizsardzÄ«bu, konfidenciÄlu informÄciju u.c., rodas sajÅ«ta, ka rakÄmies kaut kur nepareizÄ vietÄ jeb konkrÄtÄk, ar tehnisko palÄ«dzÄ«bu cenÅ”amies risinÄt pÄc bÅ«tÄ«bas sociÄlÄs problÄmas. lÄ«dzekļi (kriptogrÄfija) . ParunÄsim par to, es nesolu laikmetÄ«gus atklÄjumus, kÄ arÄ« konkrÄtus priekÅ”likumus, tukÅ”as domas ir tikai tÄdas: dÄ«kstÄves.
Mazliet vÄstures, tikai mazliet
1976. gadÄ ASV pieÅÄma federÄlo standartu simetriskas Å”ifrÄÅ”anas algoritmiem ā DES. Tas bija pirmais publiskais un standartizÄtais kriptogrÄfijas algoritms, kas izveidots, reaÄ£Äjot uz pieaugoÅ”ajÄm biznesa prasÄ«bÄm pÄc datu aizsardzÄ«bas.
BÄrdaina zinÄtkÄre
Algoritms tika publicÄts kļūdas dÄļ. Tas tika optimizÄts aparatÅ«ras ievieÅ”anai un tika uzskatÄ«ts par pÄrÄk sarežģītu un neefektÄ«vu programmatÅ«ras ievieÅ”anai. TomÄr MÅ«ra likums Ätri visu nolika savÄs vietÄs.
Å Ä·iet - stÄsta beigas, paÅemiet, Å”ifrÄjiet, atÅ”ifrÄjiet, ja nepiecieÅ”ams, palieliniet atslÄgas garumu. VarbÅ«t jÅ«s noteikti zinÄt, ka amerikÄÅi tajÄ atstÄja grÄmatzÄ«mes, tad jums ir krievu analogs -
KÄ darbojas simetriskÄ Å”ifrÄÅ”ana? Abi dalÄ«bnieki zina vienu un to paÅ”u atslÄgu, ko sauc arÄ« par paroli, un to, kas ir Å”ifrÄts ar to, var arÄ« atÅ”ifrÄt. ShÄma lieliski darbojas spiegiem, taÄu tÄ ir pilnÄ«gi nepiemÄrota mÅ«sdienu internetam, jo āāŔī atslÄga ir iepriekÅ” jÄnosÅ«ta katram sarunu biedram. KÄdu laiku, kamÄr salÄ«dzinoÅ”i maz uzÅÄmumu aizsargÄja savus datus, sazinoties ar iepriekÅ” zinÄmu partneri, problÄma tika atrisinÄta ar kurjeru un droÅ”a pasta palÄ«dzÄ«bu, taÄu tad internets kļuva plaÅ”i izplatÄ«ts un ienÄca attÄlÄ.
AsimetriskÄ kriptogrÄfija
kur ir iesaistÄ«tas divas atslÄgas: publiski, kas netiek turÄts noslÄpumÄ un tiek darÄ«ts zinÄms ikvienam; Un PrivÄts, ko zina tikai tÄ Ä«paÅ”nieks. To, kas ir Å”ifrÄts ar publisko atslÄgu, var atÅ”ifrÄt tikai ar privÄto atslÄgu un otrÄdi. TÄdÄjÄdi ikviens var uzzinÄt adresÄta publisko atslÄgu un nosÅ«tÄ«t viÅam ziÅojumu, tikai adresÄts to izlasÄ«s. Å Ä·iet, ka problÄma ir atrisinÄta?
Bet internets tÄ nedarbojas, problÄma rodas pilnÄ spÄkÄ autentifikÄcija un it Ä«paÅ”i, sÄkotnÄjÄ autentifikÄcija, un savÄ ziÅÄ pretÄja problÄma anonimitÄte. ÄŖsÄk sakot, kÄ es varu bÅ«t pÄrliecinÄts, ka persona, ar kuru es runÄju, patieÅ”Äm ir tÄ, ar kuru es plÄnoju runÄt? un publiskÄ atslÄga, ko izmantoju, patiesÄ«bÄ pieder personai, ar kuru es gatavojos runÄt? It Ä«paÅ”i, ja es ar viÅu sazinos pirmo reizi? Un kÄ jÅ«s varat iedvest pÄrliecÄ«bu partnerÄ«, vienlaikus saglabÄjot anonimitÄti? Jau Å”eit, rÅ«pÄ«gi ieskatoties, var pamanÄ«t iekÅ”Äju pretrunu.
ApskatÄ«sim vispÄrÄ«gi, kÄdi mijiedarbÄ«bas modeļi starp dalÄ«bniekiem pastÄv un tiek izmantoti praksÄ:
- serveris - serveris (vai bizness - bizness, Å”ajÄ kontekstÄ tie ir viens un tas pats): Ŕī ir visvienkÄrÅ”ÄkÄ klasiskÄ shÄma, kurai pilnÄ«gi pietiek ar simetrisko kriptogrÄfiju, dalÄ«bnieki viens par otru zina visu, ieskaitot kontaktus Ärpus tÄ«kla. TomÄr, lÅ«dzu, Åemiet vÄrÄ, ka Å”eit pat nav runas par anonimitÄti, un dalÄ«bnieku skaits ir stingri ierobežots lÄ«dz diviem. Tas ir, Ŕī ir gandrÄ«z ideÄla shÄma ÄrkÄrtÄ«gi ierobežotam komunikÄciju skaitam, un kopumÄ no tÄ acÄ«mredzami ir maza nozÄ«me.
- serveris - anonÄ«ms (vai bizness - klients): Å”eit ir zinÄma asimetrija, ko veiksmÄ«gi apkalpo asimetriskÄ kriptogrÄfija. Galvenais Å”eit ir klienta autentifikÄcijas trÅ«kums, serverim nav svarÄ«gi, ar ko tieÅ”i tas apmainÄs ar datiem; ja pÄkÅ”Åi nepiecieÅ”ams, serveris veic sekundÄrÄ autentifikÄcija izmantojot iepriekÅ” saskaÅotu paroli, un tad viss nonÄk lÄ«dz iepriekÅ”Äjam gadÄ«jumam. No otras puses, klients ÄrkÄrtÄ«gi svarÄ«gi servera autentifikÄciju, viÅÅ” vÄlas bÅ«t pÄrliecinÄts, ka viÅa dati sasniedz tieÅ”i to cilvÄku, kam viÅÅ” tos nosÅ«tÄ«jis, Ŕī puse praksÄ ir balstÄ«ta uz sertifikÄtu sistÄmu. KopumÄ Å”o shÄmu diezgan Ärti un pÄrskatÄmi aptver https:// protokols, taÄu kriptogrÄfijas un socioloÄ£ijas krustpunktÄ rodas pÄris interesanti punkti.
- uzticÄ«ba serverim: pat ja es pilnÄ«gi droÅ”Ä veidÄ kÄdu informÄciju nosÅ«tÄ«ju uz ziemeļiem, tur tai ir pieejama tehniski nepiederoÅ”as personas. Å Ä« problÄma pilnÄ«bÄ neietilpst Å”ifrÄÅ”anas jomÄ, taÄu es lÅ«dzu jÅ«s atcerÄties Å”o punktu, jo tas parÄdÄ«sies vÄlÄk.
- uzticÄÅ”anÄs servera sertifikÄtam: sertifikÄtu hierarhija ir balstÄ«ta uz to, ka ir noteikts sakne sertifikÄta cienÄ«gs absolÅ«ts uzticÄties. Tehniski pietiekami ietekmÄ«gs uzbrucÄjs [lÅ«dzu vÄrdu uzbrucÄjs uzskatÄ«t par tehnisku terminu, nevis kÄ apmelojumu vai apvainojumu esoÅ”ajai valdÄ«bai] var aizstÄt jebkura zemÄka lÄ«meÅa sertifikÄtu, taÄu tiek pieÅemts, ka sertifikÄcijas sistÄma ir vajadzÄ«ga visiem. vienÄdi, t.i. Å”is sertificÄtÄjs tiks nekavÄjoties izstumts un visi viÅa sertifikÄti tiks atsaukti. TÄtad tas tÄ ir, bet tomÄr Åemiet vÄrÄ, ka sistÄma nav balstÄ«ta uz tehniskiem lÄ«dzekļiem, bet gan uz kaut kÄdu sociÄlo lÄ«gumu. Starp citu, par karstuVai kÄds RuNet paredzamÄs pastardienas saplÅ«Å”anas ietvaros ir analizÄjis iespÄjamo krievu saknes sertifikÄta saplÅ«Å”anu un sekas? Ja kÄds ir lasÄ«jis/rakstÄ«jis par Å”o tÄmu, atsÅ«tiet linkus, pievienoÅ”u, domÄju, ka tÄma ir interesanta
- netieÅ”a de-anonimizÄcija serverÄ«: arÄ« sÄpÄ«gs temats, pat ja serverim nav oficiÄlas reÄ£istrÄcijas/autentifikÄcijas, ir daudz veidu, kÄ savÄkt informÄciju par klientu un galu galÄ viÅu identificÄt. Man Ŕķiet, ka problÄmas sakne ir esoÅ”ajÄ http:// protokolÄ un citos tamlÄ«dzÄ«gos, kuri, kÄ jau gaidÄ«ts, nevarÄja paredzÄt Å”Ädu saÅ”utumu; un ka bÅ«tu pilnÄ«gi iespÄjams izveidot paralÄlu protokolu bez Ŕīm punkcijÄm. TomÄr tas ir pretrunÄ ar visu esoÅ”o monetizÄcijas praksi un tÄpÄc ir maz ticams. JoprojÄm jautÄjums, vai kÄds to ir mÄÄ£inÄjis?
- anonÄ«ms - anonÄ«ms: divi cilvÄki satiekas tieÅ”saistÄ, (variants - tikko satiku), (variants - nevis divi, bet divi tÅ«kstoÅ”i), un vÄlas papļÄpÄt par savÄm lietÄm, bet tÄ, ka Lielais brÄlis nedzirdÄja (variants: mamma neuzzinÄja, katram savas prioritÄtes). JÅ«s varat dzirdÄt ironiju manÄ balsÄ«, bet tas ir tÄpÄc, ka tas tÄ ir. ProblÄmai piemÄrosim Å neiera postulÄtu (jebkuru algoritmu var uzlauzt, ja tiek ieguldÄ«ts pietiekami daudz resursu, tas ir, nauda un laiks). No Ŕī viedokļa iekļūŔana Å”ÄdÄ grupÄ ar sociÄlajÄm metodÄm nerada nekÄdas grÅ«tÄ«bas, nemaz nerunÄjot par naudu, tas ir, algoritma kriptogrÄfisko spÄku. nulle ar vismodernÄkajÄm Å”ifrÄÅ”anas metodÄm.
TomÄr Å”im gadÄ«jumam mums ir otrs bastions - anonimitÄte, un mÄs liekam uz viÅu visas cerÄ«bas, pat ja visi mÅ«s pazÄ«st, bet neviens mÅ«s nevar atrast. TomÄr ar vismodernÄkajÄm aizsardzÄ«bas tehniskajÄm metodÄm jÅ«s nopietni domÄjat, ka jums ir iespÄja? AtgÄdinÄÅ”u, ka es tagad runÄju tikai par anonimizÄciju, Ŕķiet, ka datu aizsardzÄ«bu jau esam pÄrliecinoÅ”i atteikuÅ”ies. Lai bÅ«tu skaidrs, vienosimies, ja jÅ«su vÄrds kļūs zinÄms vai mÄjas adrese vai IP adrese, vÄlÄÅ”anÄs piedalÄ«jÄs pilnÄ«bÄ.
RunÄjot par ip, Å”eit tiek izmantots iepriekÅ” minÄtais uzticÄties serverim, viÅÅ” bez Å”aubÄm zina jÅ«su IP. Un Å”eit viss spÄlÄ pret jums - no vienkÄrÅ”as cilvÄciskas ziÅkÄrÄ«bas un iedomÄ«bas, lÄ«dz korporatÄ«vajai politikai un tÄdai paÅ”ai monetizÄcijai. VienkÄrÅ”i paturiet prÄtÄ, ka arÄ« VPS un VPN ir serveri; kriptogrÄfijas teorÄtiÄ·iem Å”ie saÄ«sinÄjumi ir kaut kÄ nebÅ«tiski; JÄ, un servera jurisdikcijai lielas vajadzÄ«bas gadÄ«jumÄ nav nozÄ«mes. Tas ietver arÄ« pilnÄ«gu Å”ifrÄÅ”anu ā tas izklausÄs jauki un stabili, taÄu serverim joprojÄm ir jÄpieÅem savs vÄrds.
KÄda ir servera vispÄrÄjÄ loma Å”ÄdÄ ziÅojuma sniedzÄjÄ? PirmkÄrt, tas ir triviÄli, lai pastnieks, ja saÅÄmÄja nav mÄjÄs, vÄlÄk atnÄktu vÄlreiz. Bet arÄ«, un tas ir daudz svarÄ«gÄk, tas ir tikÅ”anÄs punkts, jÅ«s nevarat nosÅ«tÄ«t vÄstuli tieÅ”i adresÄtam, jÅ«s to nosÅ«tÄt uz serveri tÄlÄkai pÄrsÅ«tÄ«Å”anai. Un pats galvenais, serveris vada nepiecieÅ”amo autentifikÄciju, apliecinot ikvienam, ka esat jÅ«s, un jums - ka jÅ«su sarunu biedrs patieÅ”Äm ir tas, kas jums nepiecieÅ”ams. Un viÅÅ” to dara, izmantojot jÅ«su tÄlruni.
Vai jums neŔķiet, ka jÅ«su vÄstnesis par jums zina pÄrÄk daudz? NÄ, nÄ, mÄs, protams, ticam viÅam (un, starp citu, arÄ« mÅ«su tÄlrunim, hmm), taÄu kriptogrÄfi mums apliecina, ka tas ir veltÄ«gi, ka mÄs nevienam nevaram uzticÄties.
Neesat pÄrliecinÄts? Bet ir arÄ« tÄ pati sociÄlÄ inženierija, ja jums ir simts sarunu biedru grupÄ, jums vienkÄrÅ”i jÄpieÅem, ka 50% no tiem ir ienaidnieki, 49% ir vai nu veltÄ«gi, stulbi, vai vienkÄrÅ”i neuzmanÄ«gi. Un atlikuÅ”ais viens procents, lai cik spÄcÄ«gs tu bÅ«tu informÄcijas droŔības metodÄs, ÄatÄ, visticamÄk, nevari pretoties labam psihologam.
Å Ä·iet, ka vienÄ«gÄ aizsardzÄ«bas stratÄÄ£ija ir pazust starp miljoniem lÄ«dzÄ«gu grupu, taÄu tas vairs nav par mums, atkal par dažiem spiegiem-teroristiem, kuriem nav vajadzÄ«ga tieÅ”saistes slava vai monetizÄcija.
Nu, man Ŕķiet, ka es kaut kÄ pamatoju (nÄ, es nepierÄdÄ«ju, es tikai pamatoju) savas skarbÄs domas par datu aizsardzÄ«bu mÅ«sdienu sabiedrÄ«bas modelÄ«. SecinÄjumi ir vienkÄrÅ”i, bet skumji - mums nevajadzÄtu rÄÄ·inÄties ar lielÄku palÄ«dzÄ«bu no datu Å”ifrÄÅ”anas, nekÄ mums jau ir, kriptogrÄfija ir izdarÄ«jusi visu, ko varÄja, un paveikusi labi, taÄu mÅ«su interneta modelis ir pilnÄ«gÄ pretrunÄ ar mÅ«su vÄlmi pÄc privÄtuma un atceļ visus mÅ«su centienus. . PatiesÄ«bÄ es nekad neesmu pesimists, un es ļoti vÄlÄtos tagad pateikt kaut ko spilgtu, bet es tikai nezinu, ko.
MÄÄ£iniet ieskatÄ«ties nÄkamajÄ sadaļÄ, bet es jÅ«s brÄ«dinu - ir pilnÄ«gi rozÄ krÄsÄ nezinÄtniskas fantÄzijas, bet tÄs var kÄdu nomierinÄt un vismaz kÄdu uzjautrinÄt.
Vai vispÄr ir iespÄjams kaut ko darÄ«t?
Nu, piemÄram, padomÄjiet par Å”o tÄmu, vÄlams, atbrÄ«vojot savu apziÅu un izmetot aizspriedumus. PiemÄram, uz laiku pilnÄ«bÄ upurÄsim anonimitÄti, lai cik Å”ausmÄ«gi tas arÄ« neizklausÄ«tos. Lai ikvienam tiek pieŔķirta unikÄla personiskÄ publiskÄ atslÄga kopÅ” dzimÅ”anas un, protams, atbilstoÅ”Ä privÄtÄ atslÄga. Nav jÄkliedz uz mani un jÄsit kÄjas, ideÄlÄ pasaule tas ir ÄrkÄrtÄ«gi Ärti - Å”eit jums ir pase, nodokļu maksÄtÄja numurs un pat tÄlruÅa numurs vienÄ pudelÄ. TurklÄt, ja pievienojat tam individuÄlu sertifikÄtu, jÅ«s iegÅ«sit universÄlu autentifikatoru/pieteikÅ”anos; un arÄ« kabatas notÄrs ar spÄju apliecinÄt jebkÄdus dokumentus. SistÄmu var padarÄ«t daudzlÄ«meÅu - publiski pieejama tikai publiskÄ atslÄga un sertifikÄts, draugiem (kuru atslÄgu saraksts pievienots Å”eit) var padarÄ«t pieejamu savu telefonu un kam vÄl viÅi uzticas draugiem, var bÅ«t vÄl dziļÄk lÄ«meÅos, taÄu tas jau nozÄ«mÄ nevajadzÄ«gu uzticÄÅ”anos serverim .
Ar Å”o shÄmu pÄrraidÄ«tÄs informÄcijas privÄtums tiek panÄkts automÄtiski (lai gan, no otras puses, kÄpÄc, ideÄlÄ pasaulÄ?), Alise kaut ko raksta Bobam, bet neviens to nekad nelasÄ«s, izÅemot paÅ”u Bobu. Visi kurjeri automÄtiski saÅem end-to-end Å”ifrÄÅ”anu, viÅu loma tiek samazinÄta lÄ«dz pastkastÄm, un principÄ par saturu nevar sÅ«dzÄties. Un paÅ”i serveri kļūst savstarpÄji aizvietojami, jÅ«s varat nosÅ«tÄ«t caur vienu vai citu, vai pat caur serveru Ä·Ädi, piemÄram, e-pastu. Varat arÄ« nosÅ«tÄ«t to tieÅ”i adresÄtam, ja ir zinÄms viÅa IP, vispÄr nesazinoties ar starpniekiem. Vai tas nav lieliski? ŽÄl tikai, ka mums nebÅ«s jÄdzÄ«vo Å”ajÄ brÄ«niŔķīgajÄ laikÄ - ne man, ne jums. Nn-jÄ, es atkal runÄju par skumjÄm lietÄm.
TÄlÄk, kur to visu uzglabÄt? Es domÄju, ka izveidojiet atvÄrtu hierarhisku sistÄmu, kaut ko lÄ«dzÄ«gu paÅ”reizÄjai DNS, tikai jaudÄ«gÄku un plaÅ”Äku. Lai neapgrÅ«tinÄtu saknes DNS administratorus ar papildinÄjumiem un modifikÄcijÄm, varÄtu veikt bezmaksas reÄ£istrÄciju, vienÄ«gÄ nepiecieÅ”amÄ pÄrbaude ir unikalitÄte. PatÄ«k >> " Sveiki, mÄs esam pieci cilvÄki, Ivanovu Ä£imene. Å eit ir mÅ«su vÄrdi/segvÄrdi, Å”eit ir publiskÄs atslÄgas. Ja kÄds jautÄ, lÅ«dzu, atsÅ«tiet mums. Un Å”eit ir saraksts ar simt piecsimt vecmÄmiÅÄm no mÅ«su rajona ar viÅu atslÄgÄm, ja viÅÄm paprasa, atsÅ«tiet arÄ« mums.Ā«
Jums tikai jÄpadara Å”Äda mÄjas servera uzstÄdÄ«Å”ana un konfigurÄÅ”ana ÄrkÄrtÄ«gi vienkÄrÅ”a un Ärta, lai ikviens, ja vÄlas, to varÄtu izdomÄt, atkal neviens nelÄdÄs nevienu oficiÄlu valdÄ«bas serveri.
Pietura!, bet kÄds tad valstij ar to sakars?
Bet tagad jÅ«s varat rÅ«pÄ«gi atjaunot anonimitÄti. Ja kÄds var Ä£enerÄt sev personÄ«go atslÄgu un apstiprinÄt to ar individuÄlu sertifikÄtu un uzstÄdÄ«t sev zemÄka lÄ«meÅa CA serveri, vai pajautÄt kaimiÅam, vai kÄdam publiskam serverim, kÄpÄc ir vajadzÄ«ga visa Ŕī oficialitÄte? Un tad nav nepiecieÅ”ams pieÄ·erties Ä«stam raksturam, pilnÄ«ga privÄtums, droŔība un anonimitÄte. Pietiek ar to, ka hierarhijas sÄkumÄ ir kÄds uzticams, nu, mÄs ticam TM jeb Let's Encrypt, un labi zinÄmie publiskie DNS vÄl nevienu nav sÅ«tÄ«juÅ”i uz stepi. Å Ä·iet, ka arÄ« no birokrÄtiem sÅ«dzÄ«bÄm nevajadzÄtu bÅ«t, tas ir, protams, sÅ«dzÄ«bas bÅ«s, bet ar kÄdu mÄrÄ·i?
VarbÅ«t kÄdreiz tiks izveidota Å”Äda sistÄma vai kaut kas lÄ«dzÄ«gs. Un, protams, mums nav neviena, ar ko paļauties, izÅemot sevi; neviena no man zinÄmajÄm valstÄ«m Å”Ädu sistÄmu neveidos. Par laimi, jau esoÅ”ie Telegram, i2p, Tor un, iespÄjams, vÄl kÄds, kuru esmu aizmirsis, parÄda, ka nekas nav neiespÄjams. Å is ir mÅ«su tÄ«kls, un mums tas ir jÄaprÄ«ko, ja neesam apmierinÄti ar paÅ”reizÄjo situÄciju.
Brrr, es nejauÅ”i beidzu uz nožÄlojamas nots. PatiesÄ«bÄ man tas nepatÄ«k, es kaut kÄ dodu priekÅ”roku sarkasmam.
PS: tas viss, protams, ir rozÄ puÅÄ·is un meitenÄ«gi sapÅi
PPS: bet, ja pÄkÅ”Åi kÄds nolemj to izmÄÄ£inÄt, rezervÄjiet man segvÄrdu
PPPS: un ievieÅ”ana, starp citu, Ŕķiet diezgan vienkÄrÅ”a
Avots: www.habr.com