Яагаад криптограф гэж? Би өөрөө энэ талаар нэлээд өнгөц мэдлэгтэй. Тийм ээ, би сонгодог бүтээлийг уншсан , гэхдээ маш удаан хугацааны өмнө; Тийм ээ, би тэгш хэмт ба тэгш бус шифрлэлтийн ялгааг ойлгож байна, зууван муруй гэж юу болохыг ойлгож байна, гэхдээ ингээд л болоо. Түүгээр ч барахгүй, одоо байгаа криптографийн сангууд нь алгоритмын бүтэн нэрийг функц бүрийн нэрэнд оруулдаг хөөрхөн заншилтай, олон тооны эхлүүлэгчтэй байдаг нь програмист хүний хувьд надад аймшигтай харамсдаг.
Тиймээс яагаад? Мэдээллийн хамгаалалт, нууц мэдээлэл гэх мэт нийтлэлүүдийн өнөөгийн давалгааг уншихад бид хаа нэгтээ буруу газар ухаж байгаа юм шиг, бүр тодруулбал бид нийгмийн асуудлыг техникийн тусламжтайгаар шийдвэрлэхийг хичээж байгаа юм шиг санагддаг. гэсэн үг (криптограф). Энэ талаар ярилцъя, би эрин үеийг бий болгох нээлтүүд, түүнчлэн тодорхой саналуудыг амлахгүй байна, хоосон бодлууд бол зүгээр л: хоосон.
Жаахан түүх, бага зэрэг
1976 онд АНУ тэгш хэмт шифрлэлтийн алгоритмуудын холбооны стандартыг баталсан - DES. Энэ нь өгөгдлийн хамгаалалтын талаархи бизнесийн эрэлт хэрэгцээний өсөн нэмэгдэж буй эрэлтэд нийцүүлэн бүтээсэн анхны нийтийн болон стандартчилсан криптограф алгоритм байв.
Сахалтай сониуч зан
Алгоритмыг алдаагаар нийтэлсэн. Үүнийг техник хангамжийг хэрэгжүүлэхэд оновчтой болгосон бөгөөд програм хангамжийг хэрэгжүүлэхэд хэтэрхий төвөгтэй, үр ашиггүй гэж үзсэн. Гэсэн хэдий ч Мурын хууль бүх зүйлийг хурдан байранд нь оруулав.
Энэ нь түүхийн төгсгөл юм шиг санагдаж байна, үүнийг авч, шифрлэж, кодыг нь тайлж, шаардлагатай бол түлхүүрийн уртыг нэмэгдүүлээрэй. Америкчууд хавчуурга үлдээсэн гэдгийг та мэдэж байгаа байх, тэгвэл танд Оросын аналог байдаг. , та үүнд бага итгэж магадгүй. Дараа нь хоёуланг нь, нэгийг нь нөгөөгөөр нь ашигла. Хэрэв та Холбооны мөрдөх товчоо, ФСБ таны төлөө нэгдэж, хавчуургаа солилцсон гэж үзэж байгаа бол би танд сайн мэдээ байна - та гаж донтон биш, та агуу их төөрөгдөлтэй байна.
Тэгш хэмт шифрлэлт хэрхэн ажилладаг вэ? Оролцогчид хоёулаа нууц үг гэж нэрлэгддэг ижил түлхүүрийг мэддэг бөгөөд түүгээр шифрлэгдсэн зүйлийг түүгээр тайлж болно. Энэ схем нь тагнуулчдад маш сайн ажилладаг боловч орчин үеийн интернетэд огт тохиромжгүй, учир нь энэ түлхүүрийг ярилцагч бүрт урьдчилан дамжуулах ёстой. Хэсэг хугацааны туршид харьцангуй цөөн тооны компани урьд нь мэдэгдэж байсан түнштэйгээ харилцахдаа мэдээллээ хамгаалж байсан бол шуудан зөөгч, аюулгүй шуудангийн тусламжтайгаар асуудлыг шийдэж байсан боловч дараа нь интернет өргөн тархаж, зураг дээр гарч ирэв.
Тэгш бус криптограф
Энд хоёр түлхүүр оролцдог: олон нийтийн, энэ нь нууцлагдаагүй бөгөөд хэнд ч мэдэгддэг; Тэгээд хувийн, үүнийг зөвхөн эзэмшигч нь мэддэг. Нийтийн түлхүүрээр шифрлэгдсэн зүйлийг зөвхөн хувийн түлхүүрээр тайлж болно, мөн эсрэгээр. Тиймээс хэн ч хүлээн авагчийн нийтийн түлхүүрийг олж мэдээд түүнд мессеж илгээх боломжтой бөгөөд зөвхөн хүлээн авагч нь үүнийг унших болно. Асуудал шийдэгдсэн юм шиг санагдаж байна?
Гэсэн хэдий ч интернет ийм байдлаар ажиллахгүй байна, асуудал бүрэн хэмжээгээр үүсдэг баталгаажуулалт ялангуяа, анхны баталгаажуулалт, зарим талаараа эсрэгээрээ асуудал нэрээ нууцлах. Товчхондоо, миний ярьж байгаа хүн үнэхээр миний ярих гэж байсан хүн мөн гэдэгт би яаж итгэлтэй байх вэ? мөн миний ашиглаж байгаа нийтийн түлхүүр үнэхээр миний ярих гэж байсан хүнийх мөн үү? Ялангуяа би түүнтэй анх удаа харилцаж байгаа бол? Нэрээ нууцалж байхдаа хамтрагчдаа хэрхэн итгэх итгэлийг бий болгох вэ? Энд аль хэдийн, хэрэв та анхааралтай ажиглавал дотоод зөрчилдөөнийг анзаарч болно.
Оролцогчдын хоорондын харилцан үйлчлэлийн ямар хэлбэрүүд байдаг ба практикт хэрэглэгдэж байгааг ерөнхийд нь авч үзье.
- сервер - сервер (эсвэл бизнес - бизнес, энэ нөхцөлд тэдгээр нь ижил зүйл): энэ бол тэгш хэмт криптограф нь хангалттай байдаг хамгийн энгийн сонгодог схем бөгөөд оролцогчид бие биенийхээ тухай бүх зүйлийг мэддэг, тэр дундаа сүлжээнээс гадуурх холбоо барих хаягийг мэддэг. Гэсэн хэдий ч бид энд нэрээ нууцлах талаар огт яриагүй бөгөөд оролцогчдын тоо хоёроор хязгаарлагдаж байгааг анхаарна уу. Өөрөөр хэлбэл, энэ нь маш хязгаарлагдмал тооны харилцаа холбооны хувьд бараг тохиромжтой схем бөгөөд ерөнхийдөө бага зэрэг ашиглагдах нь ойлгомжтой.
- сервер - нэргүй (эсвэл бизнес - үйлчлүүлэгч): энд тэгш хэмт бус криптограф амжилттай үйлчилдэг зарим тэгш бус байдал байдаг. Энд гол зүйл бол үйлчлүүлэгчийн баталгаажуулалт байхгүй, сервер яг хэнтэй мэдээлэл солилцох нь хамаагүй; гэнэт шаардлагатай бол сервер удирддаг хоёрдогч баталгаажуулалт урьдчилан тохиролцсон нууц үг ашиглах, дараа нь бүх зүйл өмнөх тохиолдолд бууж ирдэг. Нөгөө талаас үйлчлүүлэгч туйлын чухал серверийн нэвтрэлт танилт, тэр өөрийн өгөгдөл яг илгээсэн хүндээ хүрч байгаа гэдэгт итгэлтэй байхыг хүсч байгаа бөгөөд энэ тал нь практик дээр гэрчилгээний систем дээр суурилдаг. Ерөнхийдөө энэ схем нь https:// протоколд нэлээд тохиромжтой бөгөөд ил тод тусгагдсан боловч криптографи ба социологийн уулзвар дээр хэд хэдэн сонирхолтой зүйл гарч ирдэг.
- серверт итгэх: Хэдийгээр би хойд зүгт ямар нэгэн мэдээлэл илгээсэн ч гэсэн техникийн хувьд гадны хүмүүс тэнд хандах боломжтой. Энэ асуудал нь шифрлэлтийн хамрах хүрээнээс бүрэн гадуур байгаа боловч би танаас энэ зүйлийг санаж байхыг хүсч байна, энэ нь дараа гарч ирэх болно.
- Серверийн гэрчилгээнд итгэх: гэрчилгээний шатлал нь тодорхой байгаа баримт дээр суурилдаг үндэс зохих гэрчилгээ үнэмлэхүй итгэл. Техникийн хувьд хангалттай нөлөө бүхий халдагч [халдагчид гэдэг үгийг одоо байгаа засгийн газрыг гүтгэх, доромжлох биш харин техникийн нэр томъёо гэж үзнэ үү] аль ч доод түвшний гэрчилгээг орлож болох боловч гэрчилгээжүүлэх систем нь хүн бүрт хэрэгтэй гэж үздэг. адил, өөрөөр хэлбэл. энэ гэрчилгээжүүлэгчийг нэн даруй гадуурхаж, бүх гэрчилгээг нь хүчингүй болгоно. Тиймээс ийм байна, гэхдээ систем нь техникийн хэрэгсэлд тулгуурладаггүй, харин ямар нэгэн нийгмийн гэрээнд суурилдаг гэдгийг анхаарна уу. Дашрамд хэлэхэд, халуун тухайРунетийн хүлээгдэж буй сүйрлийн зулзагын нэг хэсэг болох Оросын эх гэрчилгээний зулзага, үр дагаварт дүн шинжилгээ хийсэн хүн байна уу? Хэрэв хэн нэгэн энэ сэдвээр уншсан/бичсэн бол надад линкээ илгээгээрэй, би нэмэх болно, сэдэв сонирхолтой байна гэж бодож байна
- сервер дээр шууд бусаар нэрээ нууцлах: серверт албан ёсны бүртгэл/гэрчлэл байхгүй байсан ч гэсэн үйлчлүүлэгчийн талаар мэдээлэл цуглуулж, эцэст нь түүнийг таних олон арга бий. Асуудлын үндэс нь одоо байгаа http:// протокол болон үүнтэй төстэй бусад протоколд байгаа юм шиг санагдаж байна, хүлээгдэж байсанчлан ийм уур хилэнг урьдчилан харж чадахгүй байсан; мөн эдгээр цоорхойгүйгээр зэрэгцээ протокол үүсгэх бүрэн боломжтой юм. Гэсэн хэдий ч энэ нь одоо байгаа бүх мөнгө олох практиктай зөрчилдөж байгаа тул магадлал багатай юм. Одоо ч гэсэн гайхаж байна, хэн нэгэн үүнийг туршиж үзсэн үү?
- нэргүй - нэргүй: хоёр хүн онлайнаар уулздаг, (сонголт - дөнгөж сая танилцсан), (сонголт - хоёр биш, хоёр мянга), өөрийнхөө зүйлийн талаар чатлахыг хүсдэг, гэхдээ ийм байдлаар Том ах сонсоогүй (сонголт: ээж олж мэдээгүй, хүн бүр өөрийн гэсэн тэргүүлэх чиглэлтэй байдаг). Та миний хоолойд инээдэмтэй сонсогдож магадгүй, гэхдээ энэ нь тийм учраас тэр юм. Асуудалд Шнайерын постулатыг хэрэгжүүлье (Хэрэв хангалттай нөөц хөрөнгө оруулалт хийвэл ямар ч алгоритмыг эвдэж болно, өөрөөр хэлбэл мөнгө, цаг хугацаа). Энэ үүднээс авч үзвэл, нийгмийн аргаар ийм бүлэгт нэвтрэх нь мөнгө, өөрөөр хэлбэл алгоритмын криптографийн хүч чадлыг илэрхийлдэггүй. тэг хамгийн боловсронгуй шифрлэлтийн аргуудтай.
Гэсэн хэдий ч, энэ тохиолдолд бидэнд хоёр дахь бэхэлгээ бий - нэрээ нууцлах, мөн бид бүгд биднийг мэддэг ч хэн ч олж чадахгүй ч гэсэн бүх итгэл найдвараа түүнд тавьдаг. Гэсэн хэдий ч хамгийн орчин үеийн техникийн хамгаалалтын аргуудын тусламжтайгаар танд боломж байгаа гэж нухацтай бодож байна уу? Би одоо зөвхөн нэрээ нууцлах тухай л ярьж байгааг сануулъя; бид мэдээллийн хамгаалалтыг аль хэдийн үнэмшилтэйгээр устгасан бололтой. Ойлгомжтой байхын тулд, хэрэв таны нэр танигдвал үүнтэй санал нийлэе буюу гэрийн хаяг буюу IP хаяг, ирц бүрмөсөн амжилтгүй болсон.
IP-ийн тухай ярих юм бол дээрх зүйл энд л гарч ирдэг серверт итгэ, тэр таны IP-г ямар ч эргэлзээгүйгээр мэддэг. Энд бүх зүйл таны эсрэг тоглодог - энгийн хүний сониуч зан, дэмий хоосон зүйлээс эхлээд компанийн бодлого, ижил мөнгө олох арга. VPS болон VPN нь бас сервер гэдгийг санаарай; криптографын онолчдын хувьд эдгээр товчлолууд ямар нэгэн байдлаар хамааралгүй байдаг; Тийм ээ, маш их хэрэгцээ гарсан тохиолдолд серверийн харьяалал ямар ч үүрэг гүйцэтгэдэггүй. Үүнд төгсгөлөөс төгсгөл хүртэл шифрлэлт багтдаг - энэ нь сайхан бөгөөд хатуу сонсогдож байгаа ч сервер үүнийг хийх ёстой хэвээр байна.
Ийм мессенжерт сервер ерөнхийдөө ямар үүрэг гүйцэтгэдэг вэ? Нэгдүгээрт, хэрэв хүлээн авагч гэртээ байхгүй бол дараа нь дахин ирэх нь шууданчны хувьд өчүүхэн зүйл юм. Гэхдээ энэ нь илүү чухал бөгөөд энэ бол уулзалтын цэг бөгөөд та захидал хүлээн авагч руу шууд илгээх боломжгүй, та цааш дамжуулахын тулд сервер рүү илгээдэг. Хамгийн гол нь сервер удирддаг шаардлагатай баталгаажуулалт, хүн бүрт өөрийгөө та мөн гэдгийг батлах, мөн танд - таны ярилцагч үнэхээр танд хэрэгтэй хүн гэдгийг батлах. Тэр үүнийг таны утсыг ашиглан хийдэг.
Таны элч таны тухай хэтэрхий их мэддэг гэж та бодохгүй байна уу? Үгүй ээ, үгүй, мэдээжийн хэрэг бид түүнд итгэдэг (мөн бидний утсанд нэгэн зэрэг, хмм), гэхдээ энэ нь дэмий хоосон, бид хэнд ч итгэж чадахгүй гэдгийг криптографчид баталж байна.
Итгэлгүй байна уу? Гэхдээ ижил нийгмийн инженерчлэл байдаг, хэрэв та бүлэгт зуун ярилцагчтай бол тэдний 50% нь дайсан, 49% нь дэмий хоосон, тэнэг эсвэл зүгээр л хайхрамжгүй гэж үзэх хэрэгтэй. Үлдсэн нэг хувь нь та мэдээллийн аюулгүй байдлын арга барилд хэчнээн хүчтэй байсан ч сайн сэтгэл зүйчийг чатаар эсэргүүцэж чадахгүй байх магадлалтай.
Цорын ганц хамгаалалтын стратеги нь ижил төстэй олон сая бүлгүүдийн дунд төөрөх явдал юм шиг санагддаг, гэхдээ энэ нь бидний тухай байхаа больсон, онлайн алдар нэр, мөнгө олох шаардлагагүй зарим тагнуулч-террористуудын тухай юм.
За, би нийгмийн орчин үеийн загварт өгөгдөл хамгаалах тухай хатуу бодлоо ямар нэгэн байдлаар нотолсон (үгүй, би нотлоогүй, зүгээр л нотолсон) юм шиг санагдаж байна. Дүгнэлтүүд нь энгийн боловч гунигтай байна - бид өгөгдөл шифрлэлтийн тусламжаас илүү их тусламжид найдаж болохгүй, криптограф нь чадах бүхнээ хийж, сайн хийсэн боловч бидний интернетийн загвар нь бидний хувийн нууцыг хадгалах хүсэл эрмэлзэлтэй бүрэн зөрчилдөж, бидний бүх хүчин чармайлтыг хүчингүй болгож байна. . Үнэндээ би хэзээ ч гутранги үзэлтэй хүн биш бөгөөд одоо ямар нэгэн гэгээлэг зүйл хэлэхийг үнэхээр хүсч байна, гэхдээ би юу болохыг мэдэхгүй байна.
Дараагийн хэсгийг үзэхийг хичээгээрэй, гэхдээ би танд анхааруулж байна - бүхэлдээ сарнайн өнгөтэй шинжлэх ухааны бус уран зөгнөл байдаг, гэхдээ тэд хэн нэгнийг тайвшруулж, ядаж л хэн нэгнийг зугаацуулж магадгүй юм.
Ер нь юу ч хийх боломжтой юу?
Жишээлбэл, ухамсараа чөлөөлж, өрөөсгөл үзлийг хаях замаар энэ сэдвийг бодоорой. Жишээлбэл, түр хугацаанд бүрэн гүйцэд үзье нэрээ нууцлахыг золиослоцгооё, хичнээн аймшигтай сонсогдож байгаагаас үл хамааран. Хүн бүрт төрсөн цагаасаа эхлэн өвөрмөц хувийн нийтийн түлхүүр, түүнд тохирох хувийн түлхүүрийг өгөх болтугай. Над руу хашгирч, хөлөө дэвслэх шаардлагагүй, хамгийн тохиромжтой ертөнц Энэ нь маш тохиромжтой - энд та паспорт, татварын дугаар, тэр ч байтугай утасны дугаарыг нэг саванд хийх боломжтой. Түүнээс гадна, хэрэв та үүнд хувийн гэрчилгээ нэмбэл, та бүх нийтийн баталгаажуулагч/нэвтрэх эрхтэй болно; мөн түүнчлэн аливаа бичиг баримтыг баталгаажуулах чадвартай халаасны нотариатч. Та системийг олон түвшний болгох боломжтой - зөвхөн нийтийн түлхүүр болон гэрчилгээ нь олон нийтэд нээлттэй, найз нөхөддөө (түлхүүрүүдийн жагсаалтыг энд хавсаргасан) утсаа ашиглах боломжтой болгож, найз нөхөддөө өөр юу итгэдэг вэ, бүр илүү гүнзгий байж болно. түвшин, гэхдээ энэ нь серверт шаардлагагүй итгэлийг аль хэдийн илэрхийлдэг.
Энэхүү схемийн тусламжтайгаар дамжуулагдсан мэдээллийн нууцлал автоматаар хангагдана (хэдийгээр нөгөө талаар яагаад, хамгийн тохиромжтой ертөнцөд?), Алис Боб руу ямар нэгэн зүйл бичдэг боловч Бобоос өөр хэн ч үүнийг уншихгүй. Бүх мессенжерүүд автоматаар төгсгөлийн шифрлэлтийг хүлээн авдаг бөгөөд тэдний үүрэг шуудангийн хайрцаг болж буурч, зарчмын хувьд агуулгын талаар ямар ч гомдол гарахгүй. Мөн серверүүд хоорондоо солигдох боломжтой болж, та нэгээр нь эсвэл нөгөөгөөр эсвэл бүр серверийн сүлжээгээр дамжуулан имэйл илгээж болно. Хэрэв та түүний IP нь мэдэгдэж байгаа бол ямар ч зуучлагчтай холбоо барихгүйгээр шууд хүлээн авагч руу илгээж болно. Энэ гайхалтай биш гэж үү? Энэ гайхалтай цаг үед бид амьдрах шаардлагагүй болсон нь харамсалтай байна - миний хувьд ч, танд ч биш. Тийм ээ, би дахиад л гунигтай зүйлсийн талаар ярьж байна.
Дараа нь энэ бүгдийг хаана хадгалах вэ? За, миний толгойноос гадуур, одоогийн DNS шиг, зөвхөн илүү хүчирхэг, өргөн хүрээтэй нээлттэй шаталсан системийг бий болго. Үндсэн DNS администраторуудыг нэмэлт, өөрчлөлтөөр дарамтлахгүйн тулд та үнэ төлбөргүй бүртгүүлэх боломжтой бөгөөд цорын ганц шаардлагатай зүйл бол өвөрмөц байдлыг шалгах явдал юм. Дуртай >> " Сайн байна уу, бид таван хүн, Ивановын гэр бүл. Энд бидний нэр/хоч, энд нийтийн түлхүүр байна. Хэрэв хэн нэгэн асуувал бидэн рүү илгээнэ үү. Манай нутгийн нэг зуун таван зуун эмээгийн жагсаалтыг түлхүүрийн хамт, хэрэв тэднээс асуувал бидэн рүү илгээгээрэй.«
Та ийм гэрийн серверийн суурилуулалт, тохиргоог маш энгийн бөгөөд тохиромжтой болгох хэрэгтэй бөгөөд ингэснээр хэн ч хүссэн эсэхээ олж мэдэх боломжтой бөгөөд дахин хэн ч төрийн албан ёсны серверүүдийг дахин ачаалахгүй.
Зогс!, гэхдээ тэгвэл төр үүнд ямар хамаатай юм бэ?
Харин одоо та нэрээ нууцлахыг болгоомжтой сэргээж болно. Хэрэв хэн нэгэн нь өөртөө хувийн түлхүүр үүсгэж, үүнийг хувийн гэрчилгээгээр баталгаажуулж, доод түвшний CA серверийг өөртөө суулгаж, хөршөөсөө эсвэл нийтийн серверээс асууж чадвал энэ бүх албан тушаал яагаад хэрэгтэй вэ? Дараа нь жинхэнэ дүр төрх, бүрэн нууцлал, аюулгүй байдал, нэрээ нууцлах шаардлагагүй болно. Шатлалын эхэнд найдвартай хүн байгаа нь хангалттай, бид TM эсвэл Let's Encrypt-д итгэдэг бөгөөд олон нийтэд танигдсан DNS-үүд тал руу хэнийг ч явуулаагүй байна. Хүнд сурталтнууд ч гэсэн гомдол байх ёсгүй юм шиг байна, өөрөөр хэлбэл гомдол гарах нь мэдээж, гэхдээ юунд хүрэх вэ?
Магадгүй хэзээ нэгэн цагт ийм систем, эсвэл үүнтэй төстэй зүйл бий болно. Мэдээжийн хэрэг, бидэнд өөрөөсөө өөр найдах хүн байхгүй, миний мэддэг мужуудын аль нь ч ийм тогтолцоог бий болгохгүй. Аз болоход, аль хэдийн байгаа Telegram, i2p, Tor, магадгүй миний мартсан өөр хэн нэгэн нь үндсэндээ боломжгүй зүйл биш гэдгийг харуулж байна. Энэ бол манай сүлжээ, хэрэв бид өнөөгийн байдалд сэтгэл хангалуун бус байвал түүнийг тоноглох ёстой.
Brrr, би санамсаргүйгээр өрөвдөлтэй тэмдэглэлээр төгсөв. Үнэндээ би үүнд дургүй, би ямар нэгэн байдлаар ёжлолыг илүүд үздэг.
Жич: Энэ бол мэдээж ягаан хонхорхой, охидын мөрөөдөл юм
PPS: Хэрэв гэнэт хэн нэгэн үүнийг туршиж үзэхээр шийдсэн бол надад хоч үлдээгээрэй гуйя, би үүнд дассан
PPPS: дашрамд хэлэхэд хэрэгжилт нь маш энгийн юм шиг санагддаг
Эх сурвалж: www.habr.com