ВСЕ О БЕЗОПАСНОСТИ

ВВЕДЕНИЕ В КРИПТОГРАФИЮ

Жельников Владимиp
"Кpиптогpафия от папиpуса до компьютеpа"
М., ABF, 1996
ВВЕДЕНИЕ
ПРЕДМЕТ КРИПТОЛОГИИ ИСТОРИЯ КРИПТОЛОГИИ ЭЛЕМЕНТЫ КРИПТОАНАЛИЗА
ШИФРЫ С ОТКРЫТЫМ КЛЮЧОМ ПСЕВДОСЛУЧАЙНЫЕ ПОСЛЕДОВАТЕЛЬНОСТИ ЧИСЕЛ ОБЩИЕ ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ БЕЗОПАСНОСТЬ СЕТЕВЫХ СИСТЕМ Приложения

ВВЕДЕНИЕ

Эта книга познакомит читателей с одним из величайших видов тайн - наукой о шифрах или криптологией. Изобретенная тысячелетия назад письменность обладает свойством вседоступности, которое, в зависимости от получателя сообщения, можно рассматривать как полезное, или как вредное. Мы обычно рады получить письмо от знакомых, но бываем не в восторге, заметив, что конверт вскрыт и с его содержимым кто-то ознакомился. Потому параллельно письменности, развивается секретное письмо, сиречь по-гречески криптография. Она предназначена спрятать смысл письма от просто грамотных людей и сделать его доступным лишь определенным адресатам. Поскольку компьютер революционно расширил в последние годы сферу письменности, то почти одновременно возникла потребность столь же большого развития криптографии. Насколько актуально ее использование сейчас - судите сами.

От кого же придется защищать свои данные? Пословица гласит: "От своего вора не убережешься". Если верить газетным публикациям, то российская внешняя разведка готова отечественным структурам продавать технологические секреты, выведанные за рубежом. На практике это может выглядеть таким образом. Россиянин ведет свое дело в США, а наша разведка, выкрав там его секреты, продаст их в России совместной с американцами фирме. Теория честного жулика, который в своем доме не ворует, в данном случае порочна. Наши разведчики и их шпионы мирно договариваются, какими секретами, похищенными в своих странах, они согласны обменяться и как поделить вырученные от этого деньги. Стремление государственных секретных служб ввести свои правила шифрования частных и коммерческих данных означает ни что иное, как желание Старшего Брата выведать их.

Правительства всех стран мира стремятся лишить людей интимной жизни: письма читаются, телефоны прослушиваются, багаж и носильные вещи досматривается, за людьми наблюдают. Вместе с тем все больше наши частные сообщения идут по электронным каналам. Сначала были телефоны, потом появились факсы и наконец вовсю заработала электронная почта. Сообщения электронной почты особенно легко перехватывать или сканировать по ключевым словам, что широко делается как правительственными органами, так хакерами и просто любопытными. Международные отправления все без исключения читаются государственными службами.

Известная американская киноактриса, ознакомившись со своим досье в ФБР, воскликнула: "Боже, так я всю жизнь купалась в стеклянной ванне на людном перекрестке!" Поэтому когда США в 1994 году пытались принять за стандарт шифрования Clipper, позволяющий правительству читать любые частные шифровки, то более 50000 американцев направили по электронной почте в Вашингтон протесты.

Впрочем, порой некомпетентные сотрудники, отвечающие за безопасность, страшнее шпионов. Примером этого является известное дело Prestel, имевшее место в начале 80-х годов, когда был взломан "электронный почтовый ящик" герцога Эдинбургского. Администратор, отвечающий за работу системы британской электронной почты Prestel, по халатности оставил на экране дисплея свой пароль доступа к системе, и он стал известен злоумышленникам. Другой казус, вполне объяснимый низкой компетентностью служб безопасности произошел, когда бельгийский премьер-министр Вифред Мартене обнаружил, что посторонние через компьютерную сеть имеют доступ к государственным секретам в личных файлах членов кабинета министров. Несколько месяцев электронная почта Мартенса, включая секретную информацию об убийстве британского солдата террористами из Ирландской Республиканской Армии в Остенде, была доступна любопытным. Один из взломщиков для саморекламы показал газетному репортеру, как просто ворваться в компьютер Мартенса, получив доступ к девяти свежим письмам и шифру. Более того, в течение часовой демонстрации, он "столкнулся" с другим вором, грабившим тот же самый компьютер.

Кроме этой проблемы, есть и не менее важная сейчас, пусть не для личности, но для страны - сохранность данных исследований, разработок и стратегической управляющей информации в компьютерных системах. От этого напрямую зависит безопасность общества. Например, злоумышленное нарушение работы программ управления ядерных реакторов Игналинской АЭС в 1992 году по серьезности возможных последствий приравнивается к Чернобыльской катастрофе. Основная опасность "дьяволов компьютерной преступности" состоит в том, что им, как правило, успешно удается скрыть свое существование и следы деятельности. Можно ли чувствовать опасность, если ЭВМ находится дома, а доступ к ней ограничен паролем? Однако известен случай, когда копирование данных с такого компьютера сделал ребенок, не подозревавший ничего плохого и рассчитывавший, запустив данную ему другом дискету, поиграть в новую оч-чень интересную игру.

Статистика экономических преступлений западного мира демонстрирует их перемещение в область электронной обработки данных. При этом лидирующее положение занимают махинации в банках, которые сводятся к изменению данных с целью получения финансовой выгоды. Новизна компьютерных преступлений состоит в том, что информация, представляющая активы фирм, теперь хранится не на бумаге в видимом и легко доступном человеческому восприятию виде, а в неосязаемой и считываемой только машинами форме на электронных устройствах хранения. Раскрывается лишь малая толика компьютерных преступлений, так как финансовые компании предпочитают о них умалчивать, чтобы не потерять престижа. Удивительно поэтому было заявление Сити банка, что за 1994 год выявлено около ста попыток электронных краж из России и половина из них окончилась удачно, нанеся ущерб на десятки миллионов долларов. В связи с этим из прессы стали известны имена таких петербуржцев, как Владимир Левин и супруги Корольковы (Похоже, что это были рядовые исполнители.).

Эксперты считают, что около 70% финансовых преступлений в банках совершают свои сотрудники, связанные с обработкой данных на вычислительной технике. Цена каждого подобного проникновения составляет в США от десятков тысяч до миллиона долларов и, по оценке криминалистов, убытки от незаконного проникновения в финансовые автоматизированные системы оцениваются минимум в десятки миллионов долларов ежегодно. Кто знает, чем был вызван "черный понедельник", 10 октября 1987 года, когда компьютеры многих бирж и банков Уолл-стрита внезапно стали распродавать акции, которые в то время следовало бы придержать?

За примерами легкости потрошения закрытых для посторонних компьютеров далеко ходить не надо. Для демонстрации своих возможностей хакеры неоднократно взламывали секретные системы на глазах изумленных экспертов. Термин хакер (По-русски hacker ближе всего к словам трудяга, поденщик, наемный рабочий. Хакерами еще порой называют журналистов, пишущих скандальные статьи по заказу.) стал впервые использоваться в Массачусетском технологическом институте в начале семидесятых годов, применительно к молодым программистам и проектировщикам аппаратных средств ЭВМ, которые в гаражах и подвалах мастерили первые персональные компьютеры и даже пытались продавать их. Позднее газетчики стали называть хакерами компьютерных преступников всех родов и мастей.

Число хакеров много больше, чем кажется на первый взгляд, а их незаконные действия имеют очень широкий диапазон от подглядывания чужих секретов из простого любопытства до грабежа и убийств. Представьте себя юнцом, который понял, как можно сделать телефонные звонки по компьютеру бесплатными. Вскоре, благодаря общению с друзьями из других городов и стран в его руки попали подробные инструкции о том, как можно стянуть деньги с чужой кредитной карточки. Искушение надуть знаменитую компанию вроде VISA велико, а действительные последствия ареста, да и сама его возможность из-за недостатка жизненного опыта кажутся расплывчатыми.

Человек, назвавшийся Мануэлем Вайлариалом, заказал по телефону в США компьютер и сообщил продавцу, что Билл Майер придет отобрать для него товар днем позже. Продавец магазина стал подозрительным, заметив чрезмерное волнение юноши, представившегося Майером. Поскольку юноша не смог вполне доказать свои полномочия, то продавец предложил ему, чтобы Вайлариал пришел и засвидетельствовал себя лично. После ухода парня продавец вызвал полицию и Майера, известного также как хакер по кличке "Петр 1", арестовали меньше, чем за день. Он был обвинен в попытке использовать чужую кредитную карточку и полицейские конфисковали у него сотни дискет, пытаясь их "обыскать". "Мы распечатывали содержимое лишь одного файла в течение трех часов подряд," - посетовал полицейский журналистам. Этот файл содержал по крайней мере 10000 фамилий, с номерами кредитных карточек, датами их истечения, адресами, номерами телефонов и водительских удостоверений.

Вскоре стал известен другой инцидент. Парень зарезервировал по телефону в гостинице место, дав номер своей кредитной карточки. Лишь когда он съехал, дежурный администратор гостиницы заметил, что кредит в $500 за номер был сделан по его собственной карточке. Прочтя вскоре в газете о "Петре 1", администратор вспомнил, будто в день заказа молодым человеком гостиничного номера был сбой в системе их компьютера и хотел узнать в полиции - не связано ли это с "Петром 1". Увы, полиция не знала. Должностные лица гостиницы тем не менее утверждали: их ограбил хакер, потому что нанятый ими антихакер доказал оформление кредита через телефонный модем, а не с терминала в гостинице, как это принято. Полиции точно так же не удалось связать дело "Петра 1" с 9 компьютерными кражами в Вашингтонском университете. Полиция нашла невероятным, чтобы хакеры могли взломать систему университета. Они, может, и хотели бы, однако в полиции не представляли себе, как можно было это сделать.

Дело доходило до того, что подростки в США играли - кто больше взломает компьютеров государственных учреждений. Тринадцать юных хакеров были обвинены во взломе компьютера университета штата Вашингтон и причинении дорогостоящего повреждения файловой системе. Один из них, учащийся школы 14 лет из Нью-Йорка, кроме того подозревался в блокировании компьютера ВВС Пентагона. Хакер по кличке "Зод" подобрал пароль, который давал студентам университета легальный доступ к системе и захватил над ней контроль, загрузив в компьютер собственную программу, через которую и другие могли бы незаконно войти туда. Благодаря ему толпа из полусотни хакеров, ворвалась в систему университета, видоизменяя и удаляя файлы пользователей. "Зод" был выслежен через телефонную сеть администратором системы. Аресты и обыски были произведены сразу в 17 местах, где полиция конфисковала на $50000 компьютеров и оборудования. Большинство хакеров проникают в системы из чистого любопытства и удовлетворения от отгадывания паролей. "Зод" из их числа, но последствия его действий оказались плачевными.

Действия хакеров нередко дискредитировали государственные службы безопасности. Образцами беззащитности компьютерных систем от хакеров служат и бесплатное предоставление младшему американскому школьнику свободного доступа к военной вычислительной сети, лишь бы только он перестал блокировать работу ее узлового процессора, и доказательство возможности коррекции орбиты спутника НАСА, сделанное любителями из клуба ССС ( ССС (ChaosComputerClub) - клуб европейских хакеров.) в 1986 году. Тогда же расследование полиции Амстердама, в сотрудничестве с бригадой разведки и географического отдела науки Свободного университета привело к аресту двух хакеров. Они, вторгаясь в компьютерные системы, нанесли ущерб более чем на сто тысяч голландских гульденов. 25-летний компьютерный инженер по кличке Fidelio и 21-летний студент по кличке Wave, были первыми хакерами, которых арестовали в Нидерландах. Из операционной системы UNIX своего компьютера они были способны получить доступ к другим ЭВМ в США, Скандинавии, Испании и Италии, где крали пароли, программы и закрытые технические данные.

Убытки от компьютерной преступности оценить трудно, но один миллион долларов, украденный с помощью ЭВМ Джерри Шнайдером при выставлении счетов за оплату телефонных разговоров в 60-х годах, давным-давно стократно превзойден и вычеркнут из книги рекордов Гиннесса. Приведем еще несколько коротких примеров. В 1987 году вскрыта многомиллионная кража из компьютера фирмы Фольксвагенверк. Зафиксирована чуть не закончившаяся успехом попытка выкрасть хакерами 15,2 миллионов долларов государственного лотерейного фонда штата Пенсильвания. Трое боль ных раком скончались из-за модификации программы радиологической облучающей установки, задавшей им в 100 раз более высокие дозы облучения.

Если события в дальних странах представляются как мягкий ландшафт, прикрытый дымкой, то происходящее на родине ослепляет от близости контрастами ярких красок. Поэтому про Россию очень сложно писать непредвзято. В бывшем СССР обстановка много сложнее, чем на Западе. Хотя наша компьютерная преступность родилась лишь в конце семидесятых годов, но попав на благодатную российскую почву, где нет ограничивающих ее законов, быстро разрослась в лавину, грозящую смести зачатки информационных отраслей экономики. В 1991 году из Внешэкономбанка с помощью компьютера похищено $125000. Лишь в сентябре 1994 года в ОПЕРУ Сбербанка Москвы выявлено больше чем на сто миллиардов рублей фальшивых электронных авизо и арестовано три хакера. Неизвестные хакеры годом ранее пытались похитить по компьютерной сети Центробанка 68 миллиардов рублей. Всего по данным ЦБ России ежеквартально выявляется фиктивных электронных платежей на десятки миллиардов рублей.

Усиление зависимости деловых и научных кругов от ЭВМ наряду с озабоченностью общественности, что обработка информации затрагивает личные интересы граждан, привела к возрастанию внимания к проблемам защиты конфиденциальных данных в компьютерах от незаконного доступа. Нельзя сказать, чтобы такими проблемами раньше никто не занимался. КГБ имел специальную службу, защищающую партийную и дипломатическую связь от ознакомления с ее секретами непричастных (8 управление КГБ занималось шифрами.). В армии вопросами секретной связи ведало ГРУ - Главное разведывательное управление, теснейшим образом связанное с КГБ, специализирующееся на разведке и отлично финансируемое. Однако эти учреждения всегда ставили перед собой и противоположную задачу - добиться, чтобы никто из граждан России не смог защитить свои данные от их взора. Общество по сей день не только лишено малейших познаний в криптографии, но и редкие публикации, появлявшиеся в печати до распада СССР, представляли грубую дезинформацию. Из сообщений в прессе и по телевизору можно сделать вывод, что, обладая абсолютной монополией в области засекречивания, государственная криптографическая служба России стремится и впредь ее сохранять.

На Западе у фирм факсы и телефоны оснащены криптографическим оборудованием, а как быть нашим коммерсантам? Отечественные средства засекречивания могут расколоться при первой же атаке, вследствие того что меньшая часть их не имеет теоретической основы, а большая сделана в лабораториях тех же спецслужб. Вспомните - шла иракская война, когда появилось сообщение, будто французы кодовым сигналом отключили бортовые компьютеры самолетов "Мираж" армии Хусейна. Можно ли быть уверенным в том, что спецслужбы нe оставили себе "ключ от черного входа" к шифрам? Но кто в России кроме ФАПСИ, Федерального агентства правительственной связи и информации, пришедшего на смену 8 управлению КГБ, способен провести экспертизу средств защиты данных? Может быть, стоит приобретать такие средства за рубежом? Однако почти все правительства проводят политику запрета доступа к секретам криптографических служб и систем защищенной связи Контроль за экспортом в США ограничивает развитие внутренних и международных криптографических служб. Билль сената S266 от 1991 года требует чтобы американское криптографическое оборудование содержало ловушки, известные лишь АНБ ( (NSA - National Security Agency) - Агентство национальной безопасности США, занимающееся шифрами. Оно больше и лучше финансируется, чем ЦРУ и ФБР вместе взятые.) , а чиновники могли прочесть любые шифрованньк сообщения, а это подрывает общественное доверие к технике из США. Там в 1992 году ФБР предложило конгрессу закон, облегчающий подслушивание телефонных сообщений, и это вызвало резкое возмущение общественности. Однако наибольшее вторжение в личные секреты Белый Дом осуществил в 1993 году, пытаясь утвердить в качестве государственного стандарта криптографическую микросхему Clipper для употребления при засекречивании в телефонах, факсах и электронной почте. Компания AT&T ставит микросхему Clipper во все свои изделия, обеспечивающие конфиденциальность. Вместе с тем, что каждый пользователь может установить свой секретный ключ, правительство США будет иметь возможность свободно читать их сообщения, так как имеет ключи oт "черного входа" в Clipper.

Далее, лишь квалифицированные пользователи способны качественно эксплуатировать сложную шифровальную технику. Давным-давно ходил анекдот, как неизвестный доброжелатель посоветовал специалистам фирмы "Хагелин", производящей криптографическое оборудование, сделать ревизии своих изделий, поставленных одной азиатской стра не. Оказалось, что там, в установленном силами местных умельцев шифрующем блоке, телеграфные сигналы шли помимо его и лишь перепутанные соединения создавали видимость шифра. Вызывает серьезную озабоченность качество используемых, но не апробированных научной общественностью методик шифрования. Стандарт США по засекречиванию, именуемый далее DES, выдержал критику, а чего стоит стойкость к взлому неаттестованных шифров, например, применяемых в таких широко распространенных базах данных, как Paradox или Access, никто кроме криптографов не знает.

В настоящее время люди, которым нужна гарантированная защита своих данных от постороннего вмешательства, незнакомы даже с ее основами. Эта книга, написанная на элементарном уровне, задумана азбукой по криптографии и предназначается в первую очередь тем, кто работает на персональных компьютерах и планирует вести там защиту своих данных. Все же автор старался сделать ее занимательной для широкого круга читателей, представив как первую книгу по шифрованию. Хочется верить что все: писатели, журналисты, историки, деловые люди и школьники смогут найти в ней для себя что-нибудь интересное и полезное.

Под защитой данных далее понимается ряд организационных и технических мер по их охране с целью предотвратить несанкционированный доступ к содержащемуся в них смыслу или искажение. Большое внимание в книге уделено скучным вопросам административного и организационного характера, без решения которых шифрование бессмысленно. Автор придерживается точки зрения, что криптография состоит из истории, теории и практики, которым посвящены страницы этой книги. Надлежит сделать ряд замечаний. Во-первых, автор не претендует на всеобъемлющий и строгий научный подход, считая, приведенный технический уровень вполне достаточным для начального ознакомления. Во-вторых, он, отнюдь, не считает изложенный материал не только полным: но даже абсолютно точным, когда речь идет о событиях, еще недавно считавшихся государственной, дипломатической или военной тайной. Многие факты так и не удалось перепроверить из-за отсутствия доступных первоисточников, и к их изложению следует отнестись как к анекдотам или вольному пересказу. В-третьих, он не имеет желания вступать в полемику по изложенным вопросам и предлагает тому, кто может сказать больше, правильнее или лучше, самому написать книгу, а автор будет рад ее прочесть. Непосредственным поводом к написанию этой книги послужило сообщение о незаконном изъятии московскими властями в 1991 году у фирмы МММ коммерческой документации. Невольно подумалось, что стало бы делать следствие с изъятыми шифровками? Жизнь не принимает сослагательного наклонения - ее требования конкретно и жестки. Видимо, по этой причине шифровальная техника стала широко внедряться. Сейчас аппараттурой засекречивания оборудованы не только резиденция Патриарха Московского и Всея Руси, РТСБ и МЕНАТЕП, но и масса небольших коммерческих контор. Похоже, перехват их корреспонденции не грозит превратиться в сенсации на страницах газет.

Хотя традиционно криптография применялась исключительно вооруженными силами и дипломатическими службами, но сейчас она позволяет выполнять деловые операции путем передачи информации по сетям связи с использованием методов идентификации и аутентификации (идентификация и аутентификация - доказательства авторств и подлинности сообщения) , цифровой подписи, выдачи разрешений на транзакции с регистрацией и их нотариальным заверением, отметки даты, времени суток и многое другое. Эти новые приложения превращают криптографию в технику двойного использования - для военных и гражданских целей. Шифрование в гражданском секторе ведется для проведения международных банковских операций, электронного обмена информацией, обмена электронной почтой и коммерческих сделок по сетям связи более чем 1000 коммерческих организаций в России и не менее чем 600 банков уже используют для этого специальные криптографические устройства. В основе такого разграничения применений лежит разделение сфер использования криптографии для сохранения секретности информации и для ее аутентификации. Это разграничение явно выражено в новейших криптографических системах с открытым ключом. Криптография необходима частному коммерческому сектору экономики России для прогрессивного развития и применение ее не должно зависеть лишь от интересов ФАПСИ. Это относится к использованию криптографических алгоритмов, их прикладных применений, общих методов управления ключами и их распределения. Газета "Московский комсомолец" в 1992 году опубликовала статью с утверждением, что шифры, созданные коммерческими специалистами, ФАПСИ расколет за обеденный перерыв. Автор верит: после того, как не знающие шифрования коммерческие специалисты прочтут эту книгу, в ФАПСИ обеды станут гораздо продолжительнее. Ему непонятна гордость засекреченных академиков неведомыми достижениями, когда лишенное элементарных познаний в области шифрования общество беззащитно от растущей компьютерной преступности. В этом смысле Россия, перефразируя Марка Твена, напоминает рыцаря, надевшего на голову мощный шлем, но выступающего по полю битвы голым, без доспехов и щита.

[NEXT]


Hosted by uCoz