Читаем Секреты и ложь. Безопасность данных в цифровом мире полностью

Пример первый: компания F-Secure (более формальное название Data Fellows) продает программное обеспечение через свой веб-сайт, находящийся по адресу www datafellows com. Если, намереваясь купить какой-либо продукт, вы щелкните в соответствующем месте, то будете перенаправлены на www netsales net, с которым устанавливается соединение по протоколу SSL. Владельцем сертификата SSL является «NetSales, Inc., Software Review LLC» в Канзасе. Главные представительства F-Secure расположены в Хельсинки и в Сан-Хосе. Согласно любым правилам PKI, никто не имеет права делать бизнес через этот сайт. Полученный сертификат принадлежит не той компании, которая на самом деле торгует программным обеспечением. Это в точности то, что мы называли атакой посредника, и это именно то, что PKI должны предотвращать.

Пример второй: я посетил www palm com, чтобы купить кое-что для моего Palm-Pilot. Когда я собирался проверить соединение, то был перенаправлен на https://palmorder modusmedia com/asp/store asp. Сертификат зарегистрирован на имя Modus Media International; налицо скандальная попытка обмануть пользователей, которую я обнаружил, поскольку внимательно проверяю сертификаты SSL. Ну уж нет!

Кто-нибудь еще поднимет тревогу в таких случаях? Кто-нибудь не станет покупать продукт через Интернет только потому, что имя на сертификате не совпадает с именем на сайте? Кто-то, кроме меня, хоть что-нибудь заметит?

Сомневаюсь. Правда заключается в том, что сертификат, выданный VerySign, дает возможность осуществить атаку посредника, но никому нет до этого дела. Так или иначе я сделал покупку, поскольку безопасность обеспечивается правилами использования кредитных карт, а не протоколом SSL. Моя максимальная ответственность за украденную кредитную карту измеряется суммой 50 долларов, и я могу отвергнуть любую сделку, в которой нечестный торговец попытается обмануть меня. Так как все это используется, вместе с тем, что средний пользователь не беспокоится о проверке подлинности сертификатов, и не существует механизма аннулирования, то SSL – это просто (очень медленный) метод Диффи-Хеллмана обмена ключами. Цифровые сертификаты не обеспечивают реальной безопасности электронной коммерции; это полный обман.

Эта глава представляет собой коллекцию различных трюков и технических приемов, которые реально больше в безопасности не используются.

«Отлично, дела обстоят следующим образом: мы – правительство, и наше дело предупреждать преступность. Это нелегко, криминальным элементам свойственно идти окольными путями. Эти преступники, страшные преступники: наркодельцы, террористы, торговцы детской порнографией, фальшивомонетчики, – используют криптографию, чтобы защитить свои коммуникации. Мы беспокоимся, что наши перехваты, осуществляемые на законных основаниях, больше не эффективны; все эти страшные преступники скрываются. Мы хотим иметь возможность дешифровать сообщения каждого; может случиться, что он окажется криминальным элементом. Мы желаем, чтобы все вы сделали копии ваших ключей шифрования и послали их в полицию (или лицу, которому полиция доверяет), только на случай, если вы окажетесь преступником. И конечно, мы не доверим вам сделать это самостоятельно – поскольку мы собираемся выполнить это автоматически с помощью продуктов для шифрования, которые вы покупаете».

Надо признать, это недоброе описание позиции ФБР по вопросу о секретных ключах, но зато точное. С 1993 года администрация Клинтона и ФБР пытались вынудить американскую общественность принять идею, что нужно дать правительственным организациям доступ к частной информации. Они пытались привлечь корпорации к тому, чтобы они предусматривали эту возможность в своих продуктах, убедить пользователей, что эти меры предпринимаются в их высших интересах, и когда встретили сопротивление в Соединенных Штатах, продолжали оказывать давление на другие страны, вынуждая их принять такую же политику. Они даже угрожали объявить криптографию незаконной. Это очень спорный вопрос.

На первый взгляд кажется, что жалобы ФБР обоснованы. Преступники используют криптографию, чтобы скрыть доказательства, которые по закону могут быть использованы против них в суде: они зашифровывают компьютерные файлы, они шифруют телефонные переговоры и радиосвязь. Но положительные стороны использования криптографии намного перевешивают негативные факторы, и прежде всего то, что криптография чаще применяется, чтобы остановить преступников, чем в помощь им. Рон Ривест однажды сравнил криптографию с перчатками. Это правда, производя перчатки, общество облегчает преступникам задачу скрыть свои отпечатки пальцев. Но никто никогда не предлагал объявить перчатки незаконными.