Предисловие

Предисловие

Я написал эту книгу во многом для того, чтобы исправить собственную ошибку.

Семь лет назад мною была написана книга «Прикладная криптография» («Applied Cryptography»). В ней я создал математическую утопию – алгоритмы, тысячелетиями хранящие ваши глубочайшие секреты, протоколы передачи данных, обеспечивающие воистину фантастические возможности: неконтролируемые извне финансовые операции, необнаружимую аутентификацию, анонимную оплату. И все это – незаметно и надежно. В моем видении криптография была великим технологическим уравнителем: с ее помощью каждому дешевому (и дешевеющему с каждым годом) компьютеру могла быть обеспечена такая же безопасность, как и компьютерам всемогущего правительства. Во втором издании той книги я зашел так далеко, что написал:

«Недостаточно защищать себя с помощью закона; мы нуждаемся и в том, чтобы защитить себя с помощью математики».

Все это – неправда. Криптография не может ничего подобного. И не потому, что она стала хуже с 1994 года или написанное мною тогда перестало быть правдой сегодня, но оттого, что криптография существует не в вакууме.

Криптография – это раздел математики и, как и прочие ее разделы, связана с числами, уравнениями и логикой. Безопасность – реальная, ощутимая безопасность, столь необходимая нам с вами, – связана с людьми: с уровнем их знаний, их взаимоотношениями и с тем, как они управляются с машинами. Информационная безопасность связана с компьютерами – сложными, нестабильными, несовершенными компьютерами.

Математика абсолютна; окружающий мир субъективен. Математика совершенна; компьютеры могут ошибаться. Математика логична; люди, как и компьютеры, ошибаются, они своевольны и едва ли предсказуемы.

Ошибка «Прикладной криптографии» была в том, что я рассуждал обо всем независимо от контекста. Я говорил о криптографии так, как будто она и есть Ответ™. Я был потрясающе наивен.

Результат же был вовсе плох. Читатели поверили, что криптография – род некоей магической пыли, которая покроет их программное обеспечение и сделает его неуязвимым. И они произносили магические заклинания вроде «128-битовый ключ» или «инфраструктура открытого ключа». Как-то однажды коллеги поведали мне, что мир наполнился плохими системами безопасности, сконструированными людьми, прочитавшими «Прикладную криптографию».

С момента написания той книги я занимался тем, что давал консультации по криптографии: по всем вопросам, связанным с разработкой и анализом систем безопасности. К своему несказанному удивлению, я обнаружил, что слабые места в системах безопасности отнюдь не определяются недостатками математических моделей. Они были связаны с аппаратурой, программами, сетями и людьми. Прекрасные математические ходы становились никчемными из-за небрежного программирования, гнусной операционной системы или просто выбора кем-то плохого пароля.

В поисках слабины я научился смотреть шире, рассматривая криптографию как часть системы. Я начал повторять пару сентенций, которые красной нитью проходят через всю эту книгу: «Безопасность – это цепь: где тонко, там и рвется» и «Безопасность – это процесс, а не продукт».

Любая реальная система – запутанная серия взаимодействий. Защита должна распространяться на все компоненты и соединения этой системы. И в этой книге я старался показать, что в современных системах настолько много компонентов и связей – некоторые из них неизвестны даже создателям, а тем более пользователям, – что угроза для безопасности всегда остается. Ни одна система не совершенна; ни одна технология не есть Ответ™.

Сказанное очевидно каждому, кто знаком с проблемами безопасности на практике. В реальном мире за словом «безопасность» скрывается ряд процессов. Это не только упреждающие мероприятия, но и обнаружение вторжения, его пресечение и целая судебная система, позволяющая выследить виновного и преследовать его по суду. Безопасность – не продукт, она сама является процессом. И если мы должны обеспечить безопасность нашей вычислительной системы, нам необходимо начать разработку этого процесса.

Несколько лет назад я слышал цитату, которую слегка изменил:

«Если вы думаете, что технология может решить проблемы безопасности, то вы не понимаете ни проблем безопасности, ни технологии».

Эта книга о проблемах безопасности, о технологических ограничениях и о поиске решения.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Предисловие

Из книги C++ автора Хилл Мюррей

Предисловие Язык формирует наш способ мышления и определяет, о чем мы можем мыслить. Б.Л. Ворф С++ – это универсальный язык программирования, задуманный так, чтобы сделать программирование более приятным для серьезного программиста. За исключением второстепенных


Предисловие

Из книги Музыкальный центр на компьютере автора Леонтьев Виталий Петрович

Предисловие Современный компьютер без звука навряд ли кто-нибудь сейчас может представить. А ведь сначала так и было. Компьютеры создавали для серьезных вычислений в специальных организациях, единственными звуками которых были шум вентиляторов и стрекот принтеров. С


Предисловие

Из книги Microsoft Office автора Леонтьев Виталий Петрович

Предисловие Нет никакого сомнения, что так называемые офисные программы – Самые Популярные и Самые Полезные программы из всех, которые только могут обитать в железном чреве вашего компьютера. И если вы уже умеете запускать компьютер, устанавливать программы, работать с


Предисловие

Из книги Процессы жизненного цикла программных средств автора Автор неизвестен


Предисловие

Из книги ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. РУКОВОДСТВО ПО УПРАВЛЕНИЮ ДОКУМЕНТИРОВАНИЕМ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ автора Автор неизвестен

Предисловие 1. РАЗРАБОТАН И ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационная технология»2. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 20.12.93 № 260Стандарт подготовлен на основе применения аутентичного текста технических


Предисловие

Из книги Человеческий фактор в программировании автора Константин Ларри Л

Предисловие Другая сторона программного обеспеченияЭта книга о другой стороне программного обеспечения — той, что смотрит во внешний мир. Эта сторона компьютеров касается людей — технарей, как вы и я, и обычных людей, как вы и я. В собранных здесь заметках исследуются


Предисловие

Из книги 300 лучших программ на все случаи жизни автора Леонтьев Виталий Петрович

Предисловие У всех Самых Необходимых Вещей в этом мире есть одно пренеприятнейшее свойство: в нужный момент их никогда не оказывается под рукой. Следствие ли это пресловутого «закона бутерброда» или элементарной человеческой рассеянности – науке неведомо. Итог все


Предисловие

Из книги BPwin и Erwin. CASE-средства для разработки информационных систем автора Маклаков Сергей Владимирович

Предисловие Создание современных информационных систем представляет собой сложнейшую задачу, решение которой требует применения специальных методик и инструментов. Неудивительно, что в последнее время среди системных аналитиков и разработчиков значительно вырос


Предисловие

Из книги Моделирование бизнес-процессов с BPwin 4.0 автора Маклаков Сергей Владимирович

Предисловие В 1998 году вышла книга автора, посвященная инструментальным средствам системного анализа и проектирования информационных систем -BPwin и ERwin. (Маклаков С. BPwin и ERwin. CASE-средства разработки информационных систем. М: Диалог-МИФИ). Книга выдержала два издания и


Предисловие

Из книги Технология XSLT автора Валиков Алексей Николаевич

Предисловие О чем эта книга? Сложно переоценить влияние, которое за последнюю пару-тройку лет оказало на информационные технологии появление и распространение расширяемого языка разметки XML (от англ. extensible Markup Language). XML-технологии нашли применение во множестве областей и


Предисловие

Из книги Приемы создания интерьеров различных стилей автора Тимофеев С. М.

Предисловие 3ds Max — весьма популярная программа для создания проектов интерьеров. Программа предоставляет массу возможностей по созданию фотореалистичной картинки будущего интерьера, позволяет передать несколько концепций оформления одного и того же помещения,


Предисловие

Из книги 19 смертных грехов, угрожающих безопасности программ автора Ховард Майкл

Предисловие В основе теории компьютеров лежит предположение о детерминированном поведении машин. Обычно мы ожидаем, что компьютер будет вести себя так, как мы его запрограммировали. На самом деле это лишь приближенное допущение. Современные компьютеры общего


Предисловие

Из книги Как накормить слона, или первые шаги к самоорганизации с Evernote автора Султанов Гани

Предисловие Книга посвящена системе управления делами и сбора информации с помощью сервиса Evernote.Вот что написано о данной мини-книге в официальном блоге Evernote:«Книга будет особенно интересна тем, кто уже давно присматривается к методике повышения личной эффективности GTD


Предисловие

Из книги Введение в криптографию автора Циммерманн Филипп

Предисловие Криптография — частая тема детских комиксов и шпионских историй. Дети когда-то собирали этикетки Ovaltine®, чтобы получить Секретное кольцо-декодер капитана Миднайта. Едва ли не каждый смотрел телевизионный фильм о неприметном одетом в костюм джентльмене с


Предисловие

Из книги iOS. Приемы программирования автора Нахавандипур Вандад

Предисловие Это издание книги является не просто дополненной, а полностью переработанной версией предыдущего. В iOS 7 изменилось все: внешний вид и функциональная сторона операционной системы, способы использования наших устройств с iOS и, самое главное, принципы


Предисловие

Из книги Программист-фанатик автора Фаулер Чед

Предисловие Я уверен, что в каждом из нас есть что-то незаурядное, но масса времени уходит на то, чтобы понять, что же на самом деле важно, на то, чтобы вытянуть это из самого себя. Ты не сможешь стать незаурядным, если не любишь свое окружение, свои инструменты, свою область