Полная версия
Криптография. Как защитить свои данные в цифровом пространстве
Дальше – сложнее. Компьютер работает не в привычной нам десятичной системе счисления, а в двоичной, состоящей только из нолей и единиц. Звучит страшнее, чем на самом деле: это всего лишь еще один способ записи чисел, у каждого десятичного числа есть двоичное представление и наоборот. Например, десятичное число 17 записывается как 10001 («один ноль ноль ноль один», а не «десять тысяч один») в двоичной системе, а двоичное число 1101 – как 13 в десятичной. Каждую цифру двоичного кода называют битом, и эти биты формируют неделимые единицы числовой информации. Четыре бита составляют ниббл (от англ. nibble – покусывать), а два ниббла – байт (от англ. byte – кусать; и не говорите больше, что у компьютерщиков нет чувства юмора!).
Как правило, информация, которую мы хотим обработать на компьютере, состоит не только из чисел. Допустим, вы набрали на клавиатуре символы «K9!». Прежде чем сделать что-то с этими данными, компьютер должен представить их в двоичном виде. Клавиатурные символы преобразуются в биты по системе, известной как ASCII (American Standard Code for Information Interchange), которая описывает правила сопоставления кнопок клавиатуры и битов. В нашем примере символу «K» по ASCII соответствует байт 01001011, символу «9» – 00111001[50], а для «!» это будет 00100001. Таким образом компьютер, получивший код ASCII 01001011 00111001 00100001, знает, что для представления пользователю его следует перевести обратно в строку «K9!».
Полезно вспомнить и о размере данных. Поскольку они состоят из двоичных чисел, измерять их проще всего в количестве бит или байтах. Например, число 1011001100001111 имеет длину 16 бит или 2 байта. Для больших данных используются более грандиозные термины, такие как килобайты (1000 байт), мегабайты (1000 килобайт), гигабайты (1000 мегабайт) и терабайты (1000 гигабайт).
Криптографические ключи – это лишь особые элементы данных, поэтому компьютер их тоже должен представлять в виде двоичных чисел. А поскольку размер ключа – одна из важных мер безопасности, упоминания о длине ключей[51] в криптографических алгоритмах нередки. В современной криптографии ключ, как правило, имеет длину 128 бит.
Где мой ключ?Если постоянно пользоваться криптографическими ключами, возникает вопрос: где они находятся?
Рассмотрим конкретный пример. Каждый раз, когда вы звоните кому-то по сотовому телефону, вы используете криптографию. Безопасность этого процесса опирается на способность сотового оператора отличить вас от остальных 5 миллиардов абонентов на планете[52]. Для этого оператор выдает вам секретный криптографический ключ – число, «известное» только ему и вам, при помощи которого вы сообщаете оператору о попытке сделать звонок. А теперь я объясню, почему это почти соответствует действительности.
Что это за особое секретное число, которое используется для звонка? Это явно не ваш телефонный номер – он не секретный. Криптографический ключ мобильного телефона вам наверняка неизвестен. И тому есть две веские причины, ни одна из которых не сводится к тому, что вам этот ключ знать нельзя.
Первая и, наверное, главная причина в том, что криптографические ключи представляют собой большие числа. Если вас попросят запомнить число от 0 до 10, вы легко с этим справитесь. Скорее всего, вы способны запомнить числа до 10 000 или даже до миллиона, так как числа такой длины часто используют в качестве PIN-кодов (хотя об этом чуть позже). Но в криптографических масштабах 1 миллион – это не большое число. Ключи не просто очень большие, их размер едва ли не за гранью нашего понимания.
В порядке упражнения попытайтесь представить себе количество звезд во вселенной, умноженное на 40 000[53]. Даже если вам удастся это вообразить, вы все равно будете оперировать значениями не того масштаба. Ключи примерно такого размера когда-то действительно использовались, но их давно уже не признают достаточно безопасными в большинстве современных сфер применения криптографии. Теперь мы пользуемся ключами в триллион раз большими. Если у вас от таких чисел начала кружиться голова, то вы уловили суть. Обычный человек не в состоянии запомнить современный криптографический ключ.
Сотового оператора не интересует, кто говорит по телефону и даже с какого аппарата прошел звонок. Оператора заботит, куда послать счет за услуги. Это вторая причина, почему вам неизвестен ключ, который используется в вашем сотовом. Таким образом, оператору нужен какой-то уникальный аспект вашей мобильной учетной записи, которым может быть невообразимо большое число. Именно его вы и получаете при регистрации номера. Это очень маленькая пластиковая карта с крошечным встроенным микрочипом, так называемым модулем идентификации абонента (англ. subscriber identity module – SIM), которая вставляется в ваш телефон. Основное назначение SIM-карты состоит в хранении криптографического ключа. Этот ключ позволяет отличить вашу учетную запись от любой другой на планете, поэтому, если вы одолжите кому-то свой телефон или вставите свою SIM-карту в другое устройство, счет придет именно вам.
Итак, криптографические ключи в большинстве своем являются огромными числами, пользуются которыми непосредственно компьютеры, а не люди. Поэтому большинство ключей находится либо на самих компьютерах, либо на устройствах, которые к ним подключаются. Например, ключи для защиты банковских транзакций хранятся на чипе, встроенном в вашу платежную карту. Ключи к вашей сети Wi-Fi – в вашем маршрутизаторе. Ключи для защиты данных, которыми вы обмениваетесь с интернет-магазином, зашиты в программный код вашего браузера. Криптографический ключ, позволяющий вашей машине открывать дверной замок, когда вы к ней приближаетесь, находятся в брелоке (и пусть вас не вводят в заблуждение слова о так называемой технологии входа «без ключа»: на самом деле ключ здесь двойной, одна его часть физическая, а другая криптографическая). Вы не знаете, какое число представляет любой из этих ключей, но у вас есть доступ к местам, где они хранятся.
Когда секретная информация не является ключомИтак, криптографические ключи – это секретная информация, знание которой можно использовать для идентификации той или иной сущности в киберпространстве. Но что насчет таких секретных данных, как пароли и PIN-коды[54]? Можно ли их считать криптографическими ключами?
Не совсем, хотя иногда они таковыми оказываются. В каком-то смысле. Запутались? Неудивительно, различие между этими понятиями и правда тонкое.
Криптографические ключи действительно чем-то похожи на пароли и PIN-коды, но знак равенства между ними поставить нельзя. Пароли и PIN-коды, несомненно, являются секретными данными, необходимыми для обеспечения безопасности в киберпространстве. Но считать ли их криптографическими ключами, зависит от способа применения.
Пароли и PIN-коды в основном применяются для идентификации. Например, когда вы входите в систему, компьютер запрашивает пароль и проверяет его корректность. Если проверка прошла успешно, компьютер выводит на экран приветствие. С точки зрения криптографии в этом нет ничего особенного, так как в основе этого процесса нет шифрования[55]: вы всего лишь предоставляете пароль, чтобы компьютер мог его проверить.
Именно в этом и состоит ключевая проблема входа в систему. Пароль – это секретные данные, которые вам полагается оберегать, но, входя в систему, вы их «выдаете». В каком-то смысле вы теряете контроль, поскольку вам приходится доверять устройству, которому вы передаете их, а заодно всем сетям и устройствам, которым эти данные переправляются далее. Вы вынуждены верить, что все они не допустят никаких злоупотреблений.
Ввод пароля в домашний компьютер вряд ли покажется вам чем-то безрассудным, и вы, конечно же, правы. Но иногда мы взаимодействуем с удаленными компьютерами, например когда вводим пароль для доступа к каким-то ресурсам на веб-странице. В этом случае пароль передается незащищенным по компьютерным сетям, прежде чем дойдет до сервера, на котором физически находится сайт (некоторые хорошо спроектированные веб-сайты используют для защиты паролей криптографию, но не все). Любой, у кого есть доступ к промежуточной сети, сможет прочитать ваш пароль и позже использовать его, чтобы выдать себя за вас. Точно так же, снимая деньги в банкомате, мы «выдаем» свой PIN-код, и важные секретные данные передаются другому устройству[56].
Криптографические ключи ни в коем случае нельзя так раскрывать. Их используют для демонстрации того, что они вам известны, но сами ключи при этом не раскрываются. Таким образом ключ остается секретным на протяжении всего процесса – как до, так и после использования. Этот уровень секретности имеет куда более строгие требования по сравнению с теми, которые мы предъявляем к паролям и PIN-кодам.
Но иногда криптографические ключи напрямую связывают с паролями: для простоты использования. Как вы помните, они представляют собой огромные числа, запомнить которые нереально. В связи с этим они обычно хранятся на устройствах. Но это не всегда представляется возможным.
Допустим, вы решили скрыть содержимое отдельного конфиденциального файла на своем компьютере с помощью криптографии. Предположим, вы нечасто этим занимаетесь, поэтому в вашей системе не включено автоматическое шифрование файлов (между прочим, вы можете его включить). Таким образом вам придется создать ключ специально для этого случая, который придется как-то запомнить на будущее.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.
Примечания
1
Дэми Ли, «Apple Says There Are 1.4 Billion Active Apple Devices», Verge, 29 января 2019 года, https://www.theverge.com/2019/1/29/18202736/apple-devices-ios-earnings-q1–2019.
2
По состоянию на апрель 2018 года в мире существовало 7,1 миллиарда глобальных банковских карт EMV (Europay, Mastercard и Visa) с чипом и PIN-кодом: «EMVCo Reports over Half of Cards Issued Globally Are EMV® Enabled», EMVCo, 19 апреля 2018 года, https://www.emvco.com/wp-content/uploads/2018/04/Global-Circulation-Figures_FINAL.pdf.
3
Это цифры, которые компания WhatsApp опубликовала в середине 2017 года, но даже если они немного преувеличены, они, скорее всего, правильно отражают масштаб: WhatsApp, «Connecting One Billion Users Every Day», Блог WhatsApp, 26 июля 2017 года, https://blog.whatsapp.com/connecting-one-billion-users-every-day.
4
По сообщениям компании Mozilla, в 2018 году доля веб-страниц, загруженных браузерами Firefox по https (с шифрованием), достигла отметки в 75 процентов: Let’s Encrypt Stats, Let’s Encrypt, по состоянию на 10 июня 2019 года, https://letsencrypt.org/stats.
5
Энигма (режиссер Майкл Эптед, Jagged Films, 2001) – художественный фильм о криптографах, работавших в Блетчли-парке, Англия, во время Второй мировой войны, и их попытках расшифровать переговоры, закодированные нацистскими машинами Энигма. В фильме 007: Координаты «Скайфолл» (режиссер Сэм Мендес, Columbia Pictures, 2012) Джеймс Бонд и его квартирмейстер, Q, занимаются впечатляющим (и несколько неправдоподобным) анализом зашифрованных данных. Фильм Тихушники (режиссер Фил Алден Робинсон, Universal Studios, 1992), пожалуй, опередил свое время; в нем два студента занимаются взломом компьютерных сетей и оказываются вовлечены в сбор разведданных с использованием устройств, способных взламывать криптографию.
6
C.S.I.: Киберпространство (Jerry Bruckheimer Television, 2015–16) – американский драматический сериал об агентах ФБР, расследующих киберпреступления. В нем изображены довольно необычные криптографические методики, включая хранение ключей шифрования в виде татуировок. Призраки (Kudos, 2002–11) или MI-5 – британский телесериал о вымышленных сотрудниках спецслужб. В нескольких сериях агенты имеют дело с зашифрованными данными, демонстрируя необычайный талант к преодолению шифрования прямо на лету!
7
Дэн Браун использовал криптографию в нескольких своих книгах, особенно в романе Цифровая крепость (St. Martin’s Press, 1998), посвященном компьютеру, способному взломать любой известный метод шифрования. Интересно, что в самом известном романе Брауна, Код да Винчи (Doubleday, 2003), одним из персонажей выступает криптограф, хотя криптографии как таковой там нет.
8
Мой коллега Роберт Каролайна считает, что киберпространство – это не место, а средство взаимодействия. Он приводит сравнение между киберпространством и термином televisionland, с помощью которого на заре телевидения описывали абстрактную связь между людьми и новой технологией. В наши дни приветствие «Доброе утро всем в телевиделяндии!» (фраза, с которой экипаж Аполлон-7 начал свое первое радиообращение из космоса в 1968 году); Каролайна ожидает, что идея нахождения «в киберпространстве» точно так же в конечном счете выйдет из употребления. Я склонен с ним согласиться.
9
Киберпространство – это концепция, которой чрезвычайно сложно дать четкое определение. Принято считать, что впервые этот термин использовал писатель Уильям Гибсон, однако современные определения обычно основаны на абстрактном описании компьютерных сетей и данных, которые в них находятся. В своем выступлении на Crypto Wars 2.0 (третий межуниверситетский семинар по кибербезопасности, Оксфордский университет, май 2017 года) доктор Киан Мерфи (Бристольский университет) предложила более краткое определение: «Мне не нравится слово киберпространство, я предпочитаю называть это электронными вещами».
10
Согласно Internet World Stats (Miniwatts Marketing Group), по состоянию на 14 июля 2019 года, https://www.internetworldstats.com/stats.htm, чуть более половины населения мира уже в Интернете.
11
«2017 Norton Cyber Security Insights Report Global Results», Norton by Symantec, 2018, https://www.symantec.com/content/dam/symantec/docs/about/2017-ncsir-global-results-en.pdf.
12
Почти каждая вторая организация утверждает, что она была жертвой мошенничества и экономических преступлений, 31 % из этих случаев относится к киберпреступности: «Pulling Fraud Out of the Shadows: Global Economic Crime and Fraud Survey 2018», PwC, 2018, https://www.pwc.com/gx/en/services/advisory/forensics/economic-crime-survey.html.
13
Это внушительная оценка того, что нельзя измерить. Но она отражает идею о том, что в связи с нашей повышенной активностью в киберпространстве возрастает вероятность того, нас там кто-то обманет. Эти конкретные цифры взяты из отчета по киберпреступности за 2017 год, Cybersecurity Ventures, https://cybersecurityventures.com/2015-wp/wp-content/uploads/2017/10/2017-Cybercrime-Report.pdf.
14
Компьютерное вредоносное ПО Stuxnet использовалось для атаки на завод по обогащению урана в Нетензе, Иран, в котором в начале 2010 года начали замечать неполадки. Это, пожалуй, первый общеизвестный пример того, как важный индустриальный объект стал жертвой атаки из киберпространства. Это не только усилило напряжение вокруг данного инцидента в сфере международной политики и ядерной безопасности, но и послужило напоминанием всему миру о том, что критически важная национальная инфраструктура все чаще подключена к киберпространству. Атака на Нетенз проводилась не напрямую через Интернет, а, как считается, была инициирована с помощью зараженных USB-накопителей. О Stuxnet и Нетензе много всего написано – например, см. Countdown to Zero Day: Stuxnet, and the Launch of the World’s First Digital Weapon, Ким Зиттер (Broadway, 2015).
15
В ноябре 2014 года компания Sony Pictures Studios подверглась целому ряду кибератак, которые привели к раскрытию конфиденциальных сведений о ее сотрудниках и удалению данных. Злоумышленники требовали от Sony остановить выход нового комедийного фильма о Северной Корее. Например, см. статью Андреа Питерсон «The Sony Pictures Hack, Explained» в Washington Post от 18 декабря 2014 года, https://www.washingtonpost.com/news/the-switch/wp/2014/12/18/the-sony-pictures-hack-explained/?utm_term=.b25b19d65b8d.
16
Широко освещавшиеся атаки с переустановкой ключей были направлены на протокол безопасности WPA2, который использовался для криптографической защиты сетей Wi-Fi: Мэти Ванхоф, «Key Reinstallation AttacksWPA2 by Forcing Nonce Reuse», последнее обновление в октябре 2018 года, https://www.krackattacks.com.
17
Атака ROCA использует уязвимость в криптографической программной библиотеке для генерации ключей RSA, которые использовались в смарт-картах, токенах безопасности и других защищенных чипах производства Infineon Technologies. В результате появлялась возможность восстановить закрытые ключи для расшифровки: см. отчет Петра Свенды, «ROCA: Vulnerable RSA Generation (CVE15361)», опубликованный 16 октября 2017 года, https://crocs.fi.muni.cz/public/papers/rsa_ccs17.
18
Эксплойты Meltdown и Spectre использовали слабые места в широко распространенных компьютерных чипах. В январе 2018 года стало известно, что они затрагивают миллиарды устройств по всему миру, включая модели iPad, iPhone и Mac: «Meltdown and Spectre: All Macs, iPhones and iPads affected», BBC, 5 января 2018 года, http://www.bbc.co.uk/news/technology-42575033.
19
Кибератака WannaCry навредила многим старым компьютерам в Национальной службе здравоохранения Великобритании (и не только). В ходе нее устанавливался вирус-вымогатель, который шифровал диски зараженных устройств и затем вымогал выкуп взамен на расшифровку данных, которые стали недоступными. Позже Национальное аудиторское управление опубликовало детали расследования этого происшествия и предложило несколько способов, как его можно было бы избежать: Амьяс Морс, «Investigation: WannaCry Cyber Attack and the NHS», Национальное аудиторское управление, 25 апреля 2018 года, https://www.nao.org.uk/report/investigation-wannacry-cyber-attack-and-the-nhs.
20
Коми стал своего рода легендой в кругах специалистов по кибербезопасности за высказывания относительно его обеспокоенности о том, что использование криптографии мешает органам правопорядка. Например, в сентябре 2014 года он, как сообщается, выразил озабоченность усилением средств шифрования на различных мобильных устройствах: Райан Рейли, «FBI Director James Comey ‘Very Concerned’ about New Apple, Google Privacy Features», Huffington Post, 26 сентября 2014 года, http://www.huffingtonpost.co.uk/entry/james-comey-apple-encryption_n_5882874. В своем заявлении в мае 2015 года Коми по сообщениям журналистов был огорчен еще сильнее: Лорензо Франчески-Биккераи, «Encryption Is ‘Depressing,’ the FBI Says», Vice Motherboard, 25 мая 2015 года, https://motherboard.vice.com/en_us/article/qkv577/encryption-is-depressing-the-fbi-says.
21
Нравится вам Сноуден или нет, опубликованная им информация имела далеко идущие последствия, и я подробно поговорю о ней позже, когда речь пойдет о дилемме, возникшей из-за применения криптографии.
22
Вот что ответил Кэмерон на свой собственный вопрос: «Нет, мы не должны». Это замечание было воспринято многими как предложение запретить технологии шифрования: Джеймс Болл, «Cameron Wants to Ban Encryption – He Can Say Goodbye to Digital Britain», Guardian, 13 января 2015 года, https://www.theguardian.com/commentisfree/2015/jan/13/cameron-ban-encryption-digital-britain-online-shopping-banking-messaging-terror.
23
Брэндис сделал это заявление перед совещанием разведывательного альянса Пять глаз: Крис Дакетт, «Australia Will Lead Five Eyes Discussions to ‘Thwart’ Terrorist Encryption: Brandis», ZDNet, 26 июня 2017 года, https://www.zdnet.com/article/australia-will-lead-five-eyes-discussions-to-thwart-terrorist-encryption-brandis.
24
Кирен Маккарти, «Look Who’s Joined the Anti-encryption Posse: Germany, Come On Down», Register, 15 июня 2017 года, https://www.theregister.co.uk/2017/06/15/germany_joins_antiencryption_posse.
25
«Attorney General Sessions Delivers Remarks to the Association of State Criminal Investigative Agencies 2018 Spring Conference», Министерство юстиции США, 7 мая 2018 года, https://www.justice.gov/opa/speech/attorney-general-sessions-delivers-remarks-association-state-criminal-investigative.
26
Зейд заявил: «Средства шифрования широко используются по всему миру, в том числе защитниками прав человека, гражданским обществом, журналистами, осведомителями и политическими диссидентами, которым грозят преследования и притеснения. Шифрование и анонимность необходимы как для свободы выражения мнений, так и для права на частную жизнь. Утверждение о том, что без средств шифрования под угрозой могут оказаться человеческие жизни, не является ни надуманным, ни преувеличенным. В самом худшем случае способность правительственных органов взламывать телефоны своих граждан может привести к преследованиям тех, кто всего лишь пользуется своими неотъемлемыми правами». «Apple-FBI Case Could Have Serious Global Ramifications for Human Rights: Zeid», канцелярия верховного комиссара ООН по правам человека, 4 марта 2016 года, http://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=17138.
27
«The Historical Background to Media Regulation», открытый архив Лестерского университета, данные по состоянию на 10 июня 2019 года, https://www.le.ac.uk/oerresources/media/ms7501/mod2unit11/page_02.htm.
28
Бывший Министр внутренних дел Великобритании Эмбер Радд сделала об этой проблеме довольно откровенное заявление: «Мне не нужно знать, как работает шифрование, чтобы понимать, как оно помогает (сквозное шифрование) преступникам». Брайан Уиллер, «Amber Rudd Accuses Tech Giants of ‘Sneering’ at Politicians», BBC, 2 октября 2017 года, http://www.bbc.co.uk/news/uk-politics-41463401.
29
О богатой и увлекательной истории криптографии написано множество книг. Одна из самых доступных – The Code Book (Fourth Estate, 1999) авторства Саймона Сингха. Эталоном по-прежнему остается книга Дэвида Кана The Codebreakers (Scribner, 1997), но можно выделить и World War II Cryptography (CreateSpace, 2016) от Charles River Editors, Unsolved! (Princeton University Press, 2017) Крейга Бауэра, Codes and Ciphers – A History of Cryptography (Hesperides, 2015) Александра Д’Агапейеффа и Codebreaker: The History of Codes and Ciphers (Walker, 2006) Стивена Пинкока. В своей книге Decipher: The Greatest Codes Ever Invented and How to Break Them (Modern Books, 2017) Марк Фрари проводит хронологическое исследование ряда исторических кодов и шифров. В превосходной книге Стивена Леви Crypto: Secrecy and Privacy in the New Cold War (Penguin, 2000) задокументированы американские политические события второй половины двадцатого века, связанные с криптографией.
30
Существуют разные книги, посвященные криптографическим головоломкам. Например, The GCHQ Puzzle Book (GCHQ, 2016), Break the Code (Dover, 2013) Бада Джонсона и Cryptography: The Science of Secret Writing (Dover, 1998) Лоуренса Д. Смита.
31
Если этот шифр вам не поддался, попробуйте сдвинуть буквы вперед на одну позицию в алфавите! – Здесь и далее прим. ред.
32
Многие национальные монетные дворы предоставляют подробности о мерах защиты валюты, чтобы помочь с обнаружением подделок. Это относится как к тактильным ощущениям, так и к внешнему виду купюр. Больше о мерах защиты монет Британского фунта можно узнать в статье «The New 12-Sided £1 Coin» от Королевского монетного двора, https://www.royalmint.com/new-pound-coin (по состоянию на 10 июня 2019 года); в статье «Take a Closer Look – Your Easy to Follow Guide to Checking Banknotes» от Банка Англии, https://www.bankofengland.co.uk/-/media/boe/files/banknotes/take-a-closer-look.pdf (по состоянию на 10 июня 2019 года) речь идет о британских купюрах; а о долларе США можно почитать в документе «Dollars in Detail – Your Guide to U.S. Currency», опубликованном в рамках Образовательной программы о национальной валюте США, https://www.uscurrency.gov/sites/default/files/downloadable-materials/files/CEP_Dollars_In_Detail_Brochure_0.pdf (по состоянию на 10 июня 2019 года).
