Лекция: Открытые системы
Приведенные выше подходы по существу никакого отношения к криптографии не имеют, поскольку являются закрытыми. Т.е. система содержит в себе и шифротекст и пароль. Утаить пароль в таком случае просто невозможно. Все что ножно сделать, — это бесконечно затруднить его выявление и анализ используемого криптоалгоритма. На самом деле эта задача никогда не является разрешимой, и такие системы всегда могут быть вскрыты. Технические приемы, затрудняющие анализ кода, вы найдете в соответствующей главе, а сейчас мы рассмотрим другой подход к проблеме. Пусть система не содержит пароля, а ожидает его прибытия извне. Тогда дизассемблирование и анализ криптоалгорит-»а нам ровным счетом ничего не дадут. Необходим пароль, а система его не содержит и предполагается, что последний недоступен для злоумышленника. Это обстоятельство настолько важно, что я подчеркну его еще раз. Охрана пароля — это сугубо организационная проблема, не имеющая отношения ни к криптографии, ни к хакерству.
Откровенно говоря, у меня никогда не вызывали уважения люди, похищающие пароли с помощью шпионажа и «социальной инженерии». Нетехнические средства, будь то легендарные копания в мусорных бачках или запрос сведений по телефону от имени технического персонала (администратора, разработчика системы) действительно являются самостоятельной наукой, даже, может быть в определенной степени искусством, требующим незаурядных психологических навыков, но… К рассматриваемому вопросу они не относятся. Атака на систему подразумевает, что пароль достоверно не известен и требуется его найти анализом открытой криптосистемы.
В действительности открытых криптосистем сегодня не существует. Человек (знающий пароль) + механизм шифрования представляют собой закрытую криптосистему, которая уже содержит ключ! Как было показано выше, в этом случае криптостойкость последней всегда равна нулю и оптимальное решение сводится к выявлению ключа, которое невозможно предотвратить, а только бесконечно затруднить.
С другой стороны, на самом деле картина отнюдь не такая мрачная. Каналы передачи и хранения ключей сегодня достаточно надежны, персонал, имеющий к ним доступ, хорошо инструктирован и за каждую бумажку, брошенную в мусорную корзину, несет строгую ответственность.
Поэтому нас будет интересовать в первую очередь именно уязвимость крип-тоалгоритмов и конечных реализаций