Глава 5 Потребность в секретности
Глава 5
Потребность в секретности
В каких же видах секретности мы нуждаемся? Прежде чем обсудить (а может быть, и отвергнуть) специфические контрмеры против нападений, уже названных нами, остановимся и поговорим о том, что же нам нужно. Какая степень секретности необходима в сегодняшнем компьютеризированном, интернациональном, взаимосвязанном и взаимозависимом мире?
Секретность
Обыватели имеют общее представление о секретности. Когда же за нее просят платить, они не хотят этого делать. Предприниматели также имеют общее представление о секретности. Они нуждаются в ней, отлично понимая, что в случае ее отсутствия все их грязное белье будут полоскать газеты, – и они даже готовы платить за нее: за замки, сигнализацию, брандмауэры и корпоративные службы безопасности. Но когда обстоятельства подгоняют и работа должна быть быстро завершена, секретность оказывается первой вещью, которой пренебрегают. Правительства чувствуют себя комфортно только в условиях секретности: они понимают важность того обстоятельства, что их военные тайны могут попасть в руки врагов. Они нуждаются в ней и готовы заплатить за нее дорого. И они несут бремя секретности. Они готовы поступиться деталями, но сохранить основную идею.
Почти никто не понимает точно, как важна секретность в его жизни. Верховный суд утверждает, что это право, гарантируемое в соответствии с Конституцией. Демократия построена на понятии секретности: без этого вы не можете быть уверены в секретности избирательного бюллетеня. Предприниматели не могут работать, не имея никакого понятия о секретности; многочисленные работники компании должны владеть приватной информацией, которую люди вне компании иметь не должны. Люди хотят иметь гарантию секретности своих бесед и бумаг.
В Соединенных Штатах частные лица не имеют монопольного права собственности на любую информацию о себе. Списки клиентов принадлежат бизнесменам, которые их собирают. Личные записи в базе данных принадлежат владельцу базы данных. Только в редких случаях отдельным личностям обеспечены какие-либо права или защита от сбора частной информации.
Большинство стран имеют законы, защищающие частную жизнь. В Европейском Союзе, например, действует Закон от 1998 года о защите данных (Data Protection Act). Организации, которые собирают персональные данные, должны зарегистрироваться в правительстве и обеспечить меры против злоупотребления ими. Они не имеют права собирать, использовать и распространять сведения частного характера без согласия того, к кому они относятся.
Организации также должны сообщать частным лицам о причинах сбора информации, обеспечивать доступ к ней, исправлять неточности и охранять эту информацию от доступа неправомочных сторон. Люди имеют право видеть собранные о них персональные данные и исправлять в них погрешности. Они также имеют право знать, для чего собираются эти сведения, и убеждаться, что информация не будет продана для других целей. И они также имеют право «уклоняться» от любого сбора сведений, когда они этого не хотят. Сборщики данных должны отвечать за защиту индивидуальных данных в разумно высокой степени и не делиться данными с тем, кто нетвердо придерживается этих правил.
Последний пункт стал причиной осложнений между ЕС и Соединенными Штатами, так как Соединенные Штаты не ведут никакого контроля за сбором персональных данных и позволяют компаниям покупать и продавать последние по желанию. Соединенные Штаты и ЕС в порядке эксперимента приняли соглашение относительно условий секретности для американских компаний, что должно было обеспечить «адекватный» уровень секретности к июлю 2001 года. Некоторые члены Конгресса несколько раз пробовали изменить законодательство о секретности, но под давлением промышленников эти попытки были блокированы. Группа лоббирования NetCoalition com, которая включает в себя AOL, Amazon com, Yahoo! eBay и DoubleClick, верит в саморегулирование, которое является эквивалентом отсутствия секретности. К сожалению, большая часть деловых людей считают, что секретность плоха для бизнеса и что нарушение права на защиту частной информации – иногда единственный путь заработать деньги.
О деловой секретности. Предприниматели вообще не нуждаются в долгосрочной секретности. (Торговые секреты – формула кока-колы, например, – являются исключениями.) Клиентские базы данных должны оставаться конфиденциальными в течение многих лет. Данные развития производства – только несколько лет, а в бизнесе, связанном с компьютерами, намного меньше этого. Информация об общем финансовом здоровье, деловых переговорах и тактических маневрах – от недель до месяцев. Маркетинг и планы производства, стратегии, долгосрочные переговоры – от месяцев до нескольких лет. Подробная финансовая информация, возможно, нуждается в секретности в течение нескольких лет, но, вероятно, не больше. Даже общие пятилетние планы после девяти месяцев устаревают. Мы живем в мире, где информация распространяется быстро. Деловые тайны прошлой недели к этой неделе вытеснились новыми. А деловые тайны этой недели – это заголовки Wall Street Journal следующей недели.
Правительства также нуждаются в краткосрочной секретности. Интересы любой страны вынуждают ее следить за интересами других государств, и правительства заинтересованы в сохранении определенной информации в тайне от других государств. К несчастью, страны намного больше, чем компании. Невозможно сообщить каждому гражданину США секретную информацию так, чтобы при этом не произошла ее утечка к китайскому правительству. Таким образом, если Соединенные Штаты хотят сохранить секрет от китайцев, они должны также тщательно охранять его от большинства американцев.
Эти секреты обычно по своей природе – военные: стратегии и тактики, возможности оружия, разработки и обеспечение, мощь войск и их передвижение, научные исследования и разработки. Военные секреты часто перерастают в государственные: позиции на переговорах о соглашениях и т. п. Часто они пересекаются с корпоративными секретами: военными контрактами, положением на торгах, импортными и экспортными сделками и т. д.
Исключения для краткосрочной секретности связаны с затруднениями: личными, политическими или деловыми. Правительства не хотят, чтобы информация об их политических трудностях просочилась в прессу. (Вспомните Уотергейт. Вспомните мятеж в Иране. Вспомните любой политический скандал, раскрытый средствами массовой информации.) Люди не хотят обнародования своего личного прошлого. (Вспомните Билла Клинтона. Вспомните Боба Ливингстона, конгрессмена и спикера, который ушел в отставку в 1999 году после того, как было обнародовано дело двадцатилетней давности. Вспомните Артура Аша, чье заболевание СПИДом было обнаружено прессой.) Приблизительно через два десятилетия у нас будут выборы, в которых кандидаты окажутся перед необходимостью объяснять послания по электронной почте, которые они написали, когда были подростками.
Немногие случаи, которые требуют очень продолжительной секретности – из тех, что я знаю, – связаны с правительством. Американские данные переписи – имеются в виду оригиналы, а не что-либо, подвергшееся обработке, – должны остаться тайной в течение 72 лет. Мандаты ЦРУ, которые идентичны шпионским, остаются секретными, пока не переживут и шпиона, и его детей. Канадские данные переписи остаются секретными навсегда.
Многоуровневая секретность
Военные обладают большим количеством информации, которая должна храниться в тайне; разные части этой информации имеют различную степень секретности. Местоположение морских судов может быть интересно врагу, но коды запуска ракет на этих судах намного важнее. Количество шинелей в поставках крайне интересно, но количество винтовок более важно.
Имея дело с подобными вещами, военные заинтересованы в многоуровневой классификации секретности. У военных США данные могут являться несекретными, конфиденциальными, секретными и совершенно секретными. Правила устанавливают, какие данные к какому уровню классификации относятся, и обусловливают различные правила хранения, распространения и т. д. Например, требуются сейфы различной прочности для хранения данных разного уровня секретности. Данные высшей степени секретности могут храниться только в надежно охраняемом, лишенном окон помещении без фотокопировальных устройств; за них должны расписываться.
Люди, работающие с этими данными, должны проходить проверки, соответствующие информации самой высокой степени секретности из всех, с которыми они работают. Кто-нибудь с секретным допуском, например, может видеть информацию и несекретную, и конфиденциальную, и секретную. Кто-то с допуском к конфиденциальной работе может видеть только несекретные и конфиденциальные данные. (Конечно, допуск не является гарантией доверия. Глава российского отдела контрразведки ЦРУ Олдридж Эймс имел высший допуск секретности, но при этом он был российским шпионом.)
Данные на высшем уровне секретности иногда подразделяются по темам или по разделам, имеющим к ним отношение. На эти документы ставится гриф «TS/SCI» (высшая секретность/специальный раздел сведений). Каждый раздел имеет ключевое слово. TALENT и KETHOLE, например, являются ключевыми словами, связанными со спутниками-шпионами КН-11. SILVER, RUFF, TEAPOT, UMBRA и ZARF – с другими. (UMBRA применяется к информации о коммуникациях, RUFF соотносится с изображениями.)
Разделы – это важные барьеры доступа: кто-нибудь, имеющий доступ высшей степени секретности с дополнительным доступом KEYHOLE (иногда называемым «билетом»), не уполномочен видеть данные высшей степени секретности COBRA.
Дробление на разделы формально отражает понятие «потребности знать». Наличие у кого-либо некоторого уровня доступа не означает, что он автоматически получает возможность видеть все данные на этом уровне доступа. Он может получать для просмотра только те данные, которые должен знать, чтобы выполнять свою работу. Имеются и другие обозначения, которые уточняют классификацию: NOFORN – «Не для иностранных подданных», WNINTEL – «Внимание: источники и методы разведки», LIMDIS – «Ограниченное распространение».
В других странах также существуют подобные правила. В Великобритании один дополнительный уровень классификации – ограниченный, который находится между несекретным и конфиденциальным. Соединенные Штаты имеют нечто подобное, называемое FOUO (For Official Use Only) – только для служебного пользования – что означает «несекретно, но не подлежит сообщению посторонним лицам».
Здесь существенны два момента. Во-первых, все это намного легче осуществить на бумаге, чем на компьютере. В главе 8 говорится о некоторых из многоуровневых систем секретности, которые были построены и использовались, но ни одна из них никогда не работала в крупном масштабе. Во-вторых, эти системы в значительной степени не соответствуют враждебному внешнему окружению. В них не признаются ни корпоративные тайны, ни личные секреты. Секретность в реальном мире не вписывается в узкие иерархические рамки.
Анонимность
Нуждаемся ли мы в анонимности? Хорошая ли это штука? В Интернете горячо обсуждалась целая концепция анонимности, взвешивались самые разные мнения людей по этому спорному вопросу.
Любой, кто работает на кризисной телефонной линии – будь то звонки о самоубийстве или насилии – знает силу анонимности. Тысячи людей в Интернете обсуждают свою личную жизнь в конференциях для оставшихся в живых жертв злоупотребления наркотиками, больных СПИДом и т. д.; они желают делать это только через анонимную пересылку. Это – социальная анонимность и она жизненно важна для здоровья мира, потому что позволяет людям обсуждать такие вещи, говоря о которых нет желания указывать свое имя. Например, послания по почте некоторых людей в alt religion scientolgy[15] сделаны анонимно, иначе они не стали бы писать.
Политическая анонимность также важна. Не бывает и не может быть того, чтобы все политические выступления были подписаны. Так же как кто-то может совершить массовую политическую рассылку по почте без обратного адреса, может сделать то же самое через Интернет. Это играет важную роль в некоторых случаях: в 1999 году онлайновая анонимность позволила сербам, представителям Косово и другим прекратить Балканскую войну; они посылали новости о происходящем конфликте в остальные части света без непосредственного риска для жизни из-за раскрытия своей личности.
С другой стороны, люди используют анонимность Интернета, чтобы рассылать угрожающие сообщения по электронной почте, печатать речи, полные ненависти и оскорблений, распространять компьютерные вирусы и иным способом досаждать нормальным гражданам киберпространства.
Есть два различных вида анонимности. Первый – полная анонимность: письмо без обратного адреса, сообщение в бутылке, обращение по телефону без автоответчика или телефонной идентификации. О человеке, создающем полностью анонимный контакт, никто не может выяснять, кем он является, и если, что еще более важно, этот человек еще раз вступает в контакт, контактирующий не знает, что он имеет дело с тем же самым человеком.
Второй тип анонимности связан с использованием псевдонима. Подумайте о счете в швейцарском банке (хотя это фактически прекращено в 1990 году), о почтовом ящике, арендованном за наличные под вымышленным именем (хотя это больше невозможно в Соединенных Штатах без поддельного удостоверения), о встречах анонимных алкоголиков, где вы известны только как Боб. Эта анонимность заключается в том, что никто не знает, кто вы, но есть возможность идентифицировать вас по этому псевдониму. Это то, что нужно швейцарским банкам: их не заботит, кто вы, – только то, что вы являетесь тем же самым человеком, который внес деньги на прошлой неделе. Торговец не должен знать ваше имя, но должен знать, что вы законно купили товар, который теперь пытаетесь возвратить.
Оба типа анонимности сложно осуществить в киберпространстве, потому что многое в его структуре требует установления личности. Новые микропроцессоры класса Intel Pentium III имеют уникальные серийные номера, которые могут быть отождествлены так же, как и сетевые карты в компьютерах локальных вычислительных сетей. Документы Microsoft Office автоматически сохраняют информацию, указывающую на автора. Веб-серверы прослеживают людей в Сети; даже по анонимным обращениям по электронной почте теоретически можно вычислить реального человека, если отследить IP-адрес. Много недостатков было найдено в различных программах, которые обещали анонимную работу. Поверхностная анонимность проста, но истинная анонимность, вероятно, в сегодняшнем Интернете невозможна.
Коммерческая анонимность
Понятие псевдонима приносит нам приятную анонимность в финансовых сделках. Но с другой стороны, ее же используют и недобросовестные продавцы, не несущие за товар никакой ответственности: это – ничей бизнес, не принадлежащий ни правительству, ни оптовым, ни мелким торговцам, – что бы люди не покупали, будь то порнофильмы или сюрпризы к дню рождения. К сожалению, существует еще и большая группа негласных сторонников финансовой анонимности: торговцы наркотиками и другие темные элементы. Можно ли примирить две эти стороны?
Очевидно, можно, потому что существуют наличные деньги. Реально вопрос состоит в том, хотим ли мы когда-нибудь получить электронную версию наличных денег. Я не верю, что хотим, может быть, исключая лишь небольшие сделки.
Анонимность дорого стоит, потому что с ней связаны дополнительные риски. (Правительственное регулирование также влияет на это.) Банки не глупы, они предпочитают менее опасную систему. И анонимная система обходится дороже, чем система, основанная на учетных записях и отношениях. Банки могут вложить дополнительные затраты в систему, но клиенты не желают за это платить. Если вы – торговец, то проведите эксперимент. Поднимите цены в своем магазине со словами: «Пять процентов скидки, если вы дадите нам свое имя и адрес и позволите проследить ваши привычки в покупках». Посмотрите, сколько клиентов предпочитает анонимность. Люди скажут, что они не хотят попасть в мегабазы данных, прослеживающие каждую их денежную трату, но желают получить такую симпатичную карту постоянного клиента, которая предоставляет все возможности выиграть бесплатное путешествие на Гавайи (одно на тысячу карт). Если Макдоналдс предлагает три бесплатных Биг-Мака за образец дезоксирибонуклеиновой кислоты, то значит, что на это есть причина.
С другой стороны, поднимите цену, сказав: «Пять процентов скидки, если вы сообщите нам название и адрес школы вашего ребенка», и вы, вероятно, увидите другую реакцию. Есть некоторые вещи, которые большинство людей хотят сохранить в секрете, и есть люди, которые хотят держать в секрете большинство вещей. Всегда будет существовать стиль швейцарского банка – анонимной платежной системы для богатых, которые готовы нести расходы за сохранение секретности. Но средний потребитель далек от богатых. Среди средних потребителей есть некоторые исключения, но вообще-то они не заботятся об анонимности. А у банков нет никакой причины предоставлять им ее, особенно если правительство не заставляет их этого делать.
Медицинская анонимность
А еще существуют медицинские базы данных. С одной стороны, медицинские данные только полезны, если использовать их по назначению. Доктора должны знать историю болезни своих пациентов, а общие медицинские данные нужны для всех видов исследований. С другой стороны, медицинская информация рассказывает о пациенте без прикрас: генетическая предрасположенность к болезням, аборты и репродуктивное здоровье, эмоциональное и психическое здоровье, злоупотребление наркотиками, сексуальные реакции, болезни, переданные половым путем, ВИЧ-статус, физические отклонения. Люди имеют право хранить медицинские данные о себе в секрете. После того как личная медицинская информация обнародована, людей могут беспокоить, угрожать им и даже обстреливать.
Эту информацию получить нетрудно. Медицинские записи о Николь Браун Симпсон были опубликованы через неделю после ее убийства в 1994 году. А в 1995–м Лондонская Sunday Times сообщила, что цена каждой медицинской записи в Англии составляет 200 фунтов стерлингов. И если так обстоят дела в богатых странах, то вы только вообразите, какие злоупотребления могут стать возможными в странах типа Индии и Мексики, где сумма в 10 долларов способна соблазнить даже наиболее добродетельного государственного служащего.
Компьютеризированные данные пациентов плохи с точки зрения секретности. Но они хороши для всего остального, так что их сбор неизбежен. В Законе о мобильном и общедоступном страховании здоровья (HIPAA) теперь есть стандарты для компьютеризированных медицинских записей. Они делают информацию легко доступной там, где в этом есть необходимость, что удобно для населения, которое реже пользуется услугами семейного доктора и чаще ездит по всей стране, посещая различных докторов и клиники в случае необходимости. Специалисты могут легко получать нужные данные. Так же поступают и страховые компании, потому что такие данные более содержательны, более стандартизированы и более дешевы для обработки: если все данные электронные, то проверять клиентов будет дешевле. Это лучше и для исследователей, потому что позволяет им эффективнее использовать доступную информацию: впервые они могут смотреть на все в стандартной форме.
Это большое мероприятие, вероятно, столь же важное, как ранее упомянутые финансовые и кредитные базы данных. Как общество мы окажемся перед необходимостью сбалансировать потребность в доступе (который более очевиден для медицинской, чем для финансовой информации) с потребностью в секретности. Так или иначе, компьютеризация приходит в медицину. Мы должны быть уверены, что все сделано правильно.
Секретность и правительство
Правительство и ФБР, в частности, любят изображать частную секретность чудовищным инструментом четырех всадников Апокалипсиса: террористов, торговцев наркотиками, тех, кто отмывает деньги, и тех, кто занимается детской порнографией. В 1994 году ФБР протаскивало через Конгресс законопроект о цифровой телефонной связи, согласно которому телефонные компании должны были бы установить на своих коммутаторах оборудование, позволяющее легко подключаться к любой линии. После таранов Центра международной торговли оно продвигало законопроект о всесторонней борьбе с терроризмом, который дал бы ему полномочия проводить прослушивание телефонных переговоров и наделил бы Президента властью единолично объявлять политические группы террористическими организациями. К счастью, это не прошло. После падения из-за взрыва топливного бака самолета в 1996 году ФБР играло на слухах о том, что это было попадание ракеты, и принимало ряд мер, которые разрушали частную секретность. Оно продолжает лоббировать предоставление правительственного доступа ко всем шифровальным ключам или ослабление защиты до того уровня, когда она уже не будет играть никакой роли.
В течение нескольких последних десятилетий развитие компьютерной секретности в Соединенных Штатах было ограничено тем, что называется экспортными законами. Экспортные законы определяют те виды шифрования, которые компании США могут экспортировать. Так как большинство программных продуктов распространено по всему миру, такие законы значительно ограничивали эффективность шифрования в массовых программах, подобных браузерам и операционным системам[16].
В 1993 году американское правительство отстояло так называемый «Клиппер-Чип», который будет обсуждаться подробно в главе 16. Это система, которая дает полицейским доступ к вашим ключам кодирования.
Дебаты продолжаются. ФБР стремится к узакониванию прав, нарушающих секретность: прослушиванию широкополосных телефонных сетей, установке подслушивающих устройств в компьютеры пользователей без ордера везде, где возможно. Во время написания книги у нас появились новые экспортные правила для программного обеспечения, представленного на массовом рынке, разнообразие законопроектов либерализации шифрования находится в Конгрессе, и несколько дел о контроле над экспортом направлены в Верховный суд. Изменения происходят постоянно; что-либо сказанное мной здесь может устареть к моменту издания книги.
Также интересны (и бесконечны) философские проблемы. Первое – правильно ли думает правительство, когда оно предполагает, что социальные беды от секретности перевешивают социальные преимущества? В предыдущем разделе я приводил доводы, что преимущества анонимности перетягивают связанные с ней проблемы. То же самое с секретностью. Она чаще всего применяется там, где нужно, и положительных сторон ее использования намного больше, чем отрицательных.
Второе – может ли правительство закупать технологию, которая совершенно очевидно приносит большие социальные выгоды, но, с другой стороны, некоторым образом препятствует законному принуждению, так что, по идее, необходимо ограничивать ее использование? Ключевой козырь ФБР – это шифрование, являющееся большой помехой для расследования уголовных дел, так как ФБР имеет те же самые возможности подслушивания, что и десять лет назад. Однако подслушивание не обеспечивает доказательств, и история убедительно показывает, что перехват – это нерентабельный метод борьбы с преступностью. Широко распространенное шифрование может быть шагом назад в осуществлении механизмов законного принуждения, но не в обвинении преступников.
Я не знаю ответов. Существует равновесие между секретностью и безопасностью. Законы, которые регламентируют розыскную деятельность и соблюдаются должным образом, препятствуют юридическому принуждению, и это может кончиться тем, что некоторые преступники получат свободу. С другой стороны, эти законы защищают граждан от злоупотреблений полиции. Мы, как общество, должны решить, какое равновесие является правильным для нас, и затем создать условия для законного проведения его в жизнь. Но я громогласно возражаю против ФБР, старающегося насадить выгодное ему решение без общественного обсуждения и без общественного понимания.
В любом случае будущее не оптимистично. Право на секретность – это первое, чем пренебрегают в случае кризиса, и ФБР попробует сфабриковать кризисы, чтобы попытаться захватить большее количество полномочий для вторжения в секретность. Война, террористические нападения, полицейские акции… наверняка вызовут большие изменения в точках зрения. И даже сейчас, в обстоятельствах, наиболее способствующих аргументированным дебатам о секретности, мы теряем ее все больше и больше.
Аутентификация
Секретность и анонимность могут быть важны для нашего общественного и делового благосостояния, но аутентификация необходима для выживания. Аутентификация, давая информацию о том, кому можно и кому нельзя доверять, служит непрерывному возобновлению отношений, придающих смысл сложному миру. Даже животные нуждаются в аутентификации запаха, звука, касания. Возможно, сама жизнь – это распознавание молекулярного состава ферментов, антител и т. д.
Люди аутентифицируют себя огромное количество раз в день. При входе в компьютерную систему, вы подтверждаете свою подлинность компьютеру. В 1997 году управление социального обеспечения пробовало ввести данные людей в сеть; они прекратили это после жалоб на то, что номер социального обеспечения и девичья фамилия матери не являются достаточно хорошими опознавательными средствами и что у людей будет возможность читать данные других людей. Компьютер также должен подтвердить свою подлинность вам; в противном случае как вы узнаете, что это ваш компьютер, а не какой-нибудь самозванец?
Посмотрите на среднего человека на улице, собирающегося купить пирог. Он рассматривает витрину за витриной, ища тот магазин, в котором продают пироги. Или, возможно, он уже знает свою любимую булочную, но еще только идет туда. В любом случае, когда он добирается до магазина, он подтверждает подлинность того, что это – правильный магазин. Аутентификация сенсорная: он видит пироги в меню, чувствует их запах в воздухе, магазин выглядит точно так же, как тогда, когда он последний раз был в нем.
Человек говорит с продавцом магазина и спрашивает о пироге. В некоторой степени оба аутентифицируют друг друга. Продавец хочет знать, способен ли клиент заплатить. Если клиент одет в тряпье, продавец может попросить, чтобы он ушел (или, по крайней мере, заплатил сразу). Если клиент носит лыжную маску и размахивает АК-47, продавец, скорее всего, убежит сам.
Клиент также аутентифицирует подлинность торговца. Он на самом деле продавец? Он продаст мне пирог или даст мне только кучу опилок в булочке? Что сказать о булочной? В наличии есть некое свидетельство о чистоте, подписанное местным санитарным инспектором, оно висит где-то на стене, если вдруг клиент захочет проверить. Но чаще клиент доверяет своим инстинктам. Мы все уходим из булочной, если нам не понравилось «ощущение» этого места.
Торговец вручит пирог, а клиент заплатит 5 долларов по счету. Еще большая аутентификация. Действительно ли этот счет подлинный? Выглядит ли этот пирог съедобным? У нас настолько хорошо развита зрительная (и обонятельная) аутентификация, что мы не задумываемся об этом, но поступаем так все время. Клиент получит сдачу, посмотрит на чек, чтобы удостовериться, что он пробит законным предпринимателем, и положит его в карман.
Если бы клиент платил по кредитной карте, за этим последовало бы еще больше аутентификации. Торговец прогнал бы карту через считывающее контрольное устройство, которое связалось бы с центральным сервером, и убедился бы, что счет действителен и кредита на нем достаточно для покупки. Торговец исследовал бы карту, чтобы убедиться, что это не подделка, и проверил бы подпись на ее оборотной стороне. (Большинство торговцев, правда, не будут так беспокоиться, особенно если сделка незначительна по сумме.)
Если бы клиент платил чеком, был бы другой опознавательный ритуал. Торговец посмотрел бы на чек и, возможно, спросил бы клиента о некоторых идентификационных данных. Он мог бы записать номер водительского удостоверения клиента и номер его телефона на обороте чека или, допустим, номер кредитной карточки клиента. Ни одно из этих ухищрений фактически не позволяет сделать вывод, что чек действителен, но помогает проследить за клиентом в случае, если возникнут проблемы.
Подделка аутентификации может быть очень выгодна. В 1988 году Томпсон Сандерс был осужден за обман Чикагского управления торговли. Он изображал торговца – полного, в парике, с бородой и поддельными документами. Этот поддельный торговец разместил большие рискованные заказы, затем заявил свои права на те, которые были выгодны, а от тех, с кем сделки оказались убыточными, просто скрылся. Брокеры, участвовавшие в этих сделках с другой стороны, были не способны определить, кто участвовал в торге, и понесли ответственность за ущерб.
Вернемся к нашему торговцу. Приходит другая клиентка. Она и торговец – старые друзья. Каждый из них знает другого в лицо. Это – здравая система подтверждения: они узнают друг друга даже при том, что у нее новая прическа, а он носит новый парик и очки. Супергерои понимают это и носят маски, чтобы сохранить свою личность в секрете. Это больше подходит для комиксов, чем для реальной жизни, потому что аутентификация – это не только распознавание лица (иначе слепой никогда никого не узнал бы). Люди помнят голос друг друга, фигуру, особенности и т. д. Если торговец говорит со своим другом по телефону, они могут подтвердить личности друг друга вообще без визуального контакта. Специальный уполномоченный Гордон должен был понять, что Брюс Уэйн – на самом деле Бэтман, просто потому, что они так часто разговаривали по телефону.
В любом случае наш клиент, купивший пирог, закончил его есть. Он произносит «до свидания», будучи уверенным в том, что говорит это тому же самому продавцу, который обслуживал его. Он выходит через ту же самую дверь, в которую вошел, и идет домой.
Все достаточно просто, потому что каждый бывал в таких магазинчиках. Платон не доверял написанному, потому что не мог определить, что является правдой, если человек не находится прямо перед ним. Что бы он сказал о Всемирной Сети: никакого голоса, никаких лиц… только биты.
Тот же самый клиент, купивший пирог, теперь возымел желание купить что-нибудь менее скоропортящееся – рецепт приготовления пирога, например. Для этих поисков он заходит в Сеть, пользуется своим испытанным поисковым сервером и находит несколько веб-сайтов, где продаются рецепты пирогов. Все они принимают к оплате кредитные карточки через Интернет или позволяют сделать заказ по почте. Все они обещают доставку в три-четыре дня. Что теперь?
Как бедный клиент узнает, можно ли им доверять? Потребуется немного усилий, чтобы просмотреть предложения: в Сети любой может сделать это в течение нескольких минут. Но какие из продавцов честны, а какие занимаются жульничеством? URL – указатель информационного ресурса (строка символов, указывающая на местонахождение документа в Интернете) мог бы быть именем продавца рецептов, которому можно доверять, но где гарантия, что сайт действительно соответствует тому самому доверенному имени? У Северо-Западных авиалиний есть веб-сайты, где можно купить авиабилеты: www nwa com. До недавнего времени у туристических агентов был веб-сайт www northwest-airlines com. Сколько людей купили билеты у последних, думая, что покупают их у первых? (Многие компании не знают доменных имен своих тезок.) Некоторые компании помещают имена своих конкурентов в описание своих веб-сайтов (обычно скрытые) в надежде обмануть поисковые серверы. Internic net, где вы собираетесь зарегистрировать доменное имя, – не то же самое, что Internic com. Последний возник как надувательство, сформировавшись внутри Internic Software, и в настоящее время якобы регистрирует имена доменов. Хозяева, вероятно, сделают значительный бизнес за счет создания путаницы. Есть даже более мрачное предположение: кто может сказать, что некий незаконный хакер не убедил программу просмотра отображать один URL вместо другого?
Клиент находит веб-сайт, который выглядит подходящим, и выбирает рецепт пирога. Теперь он должен заплатить торговцу. Если он покупает что-либо ценное, то в этом случае нужна серьезная аутентификация. (Если он тратит 25 центов на виртуальную газету, все немного проще.) Действительны ли эти электронные деньги? Действительна ли эта кредитная карточка и есть ли у клиента право выписывать электронный чек? Некоторые торговцы, работающие непосредственно с клиентом, просят показать водительские права перед тем, как принять чек; а что же может проверить цифровой торговец перед принятием электронного чека?
Наиболее важной проблемой безопасности является аутентификация через цифровые сети. Здесь может быть так же много различных решений, как и различных требований. Некоторые решения должны быть сильными и весомыми, чтобы защитить миллионы долларов. Для других это не обязательно: например, аутентификация дисконтной карты торговца. Некоторые решения подразумевают анонимность – наличные деньги или карту, которая пускает вас в специфическую область сети, не требующую обязательного раскрытия вашего имени, – в то время как другие нуждаются в строгой системе аутентификации. Большинство будут стремиться к интернациональности: сетевой паспорт, системы, используемые для международной торговли, цифровые подписи или международные контракты и соглашения.
Часто аутентификация осуществляется невидимо для пользователя. Когда вы используете свой телефон (или платный телевизионный канал), то аутентифицируете себя в сети так, чтобы было известно, кому выставлять счет. Военная авиация имеет системы IFF (позволяющие узнать – друг перед вами или враг) для опознавания своих собственных и союзных самолетов системами ПВО. Тахографы, применяемые повсюду в грузовиках в Европе, чтобы заставить водителей соблюдать правила – такие, как принудительный отдых, – используют методы аутентификации, чтобы предотвратить мошенничество. Предоплата электричества в Великобритании – другой пример.
Когда думаете об аутентификации, держите в уме два ее различных типа. Они могут выглядеть похожими, но техника их использования очень различна. Первый – это аутентификация сеанса: беседа лицом к лицу или по телефону, или через IRC (международную линию передачи документальной информации). Сеансами также могут быть разовые посещения интернет-магазина. Метод аутентификации здесь – это сравнение отдельных диалогов: является ли лицо, сказавшее что-либо сейчас, тем же самым лицом, сказавшим что-либо ранее? (Это легко сделать при переговорах по телефону или при личной встрече – если голос и внешность те же самые, то, вероятно, это один и тот же человек. В Сети значительно сложнее.)
Второй – это аутентификация транзакции: покупки с использованием кредитной карты, частично денежное обращение. Аутентифицируется здесь действительность сделки: признают ее стороны или же будет вызвана полиция. Споры при обсуждении этой стороны вопроса одни и те же, осуществляется сделка через Сеть, по телефону или же при личном контакте. Неважно, идет ли речь о проверке чека на 100 долларов торговцем, который должен удостовериться, что чек не поддельный, или о сопоставлении подписи на кредитной карточке с подписью в регистрационной карточке продаж.
Целостность
Когда мы говорим об аутентификации, на самом деле имеем в виду целостность. Две эти концепции различаются, но иногда они переплетены. Аутентификация имеет дело с источником данных: кто подписал лицензию на медицинскую практику, кто выпустил в обращение валюту, кто санкционировал закупочный ордер на 200 фунтов удобрений и 5 галлонов дизельного топлива? Целостность имеет отношение к действительности данных. Верен ли номер этой платежной ведомости? Были ли данные исследования окружающей среды изменены, с тех пор как я последний раз видел их? Целостность не имеет отношения к источнику данных, к тому, кто создал их, когда и как, но определяется тем, были ли данные изменены с момента их создания.
Целостность – это не то же самое, что точность. Точность характеризует степень соответствия данной величины ее истинному значению; целостность описывает отношение данной величины к самой себе через какое-то время. Часто они тесно взаимосвязаны.
В любом обществе, где компьютеризированные данные используются для принятия решений, целостность важна. Иногда это может иметь значение для общества в целом: если статистика о детях с уровнем жизни за чертой бедности является признанным фактом, ситуация может быть изменена путем выделения федеральных пособий. Для любого, кто зависим от акций NASDAQ (компьютеризированной системы котировки ценных бумаг), путаница может быть убийственной. Иногда это важно для отдельной личности: вы на самом деле можете создать беспорядок, внеся изменения в записи о водительских правах и отметив чью-либо лицензию как приостановленную. (Это было случайно сделано в 1985 году в Анкоридже, штат Аляска, по отношению к 400 людям, по крайней мере один человек из которых провел ночь в тюрьме. Подумайте об удовольствии, которое кто-нибудь может получить, сделав это специально.)
Было несколько инцидентов, связанных с целостностью и имевших отношение к акциям. В 1997 году у компании Swisher, которая производит дезодоранты для унитазов, сильно увеличилась стоимость акций из-за того, что информационные службы некоторое время путали символику ее акций с символикой акций другой компании с названием Swisher, которая производит сигары. Компания Swisher1 была намного меньше, чем Swisher2, поэтому когда вы, будучи введены в заблуждение, просматривали ее годовой отчет, то находили невероятную недооценку акций. Некие парни вычислили, что же на самом деле произошло, и быстро продали акции Swisher1, просчитав, что цена снова упадет, как только инвесторы поймут ошибку.
В 1999 году служащий PairGain Technologies отправил по почте поддельные объявления о слиянии компаний, оформленные так, как выглядят объявления информационной службы Блумберг, и получил контроль над 30% акций до тех пор, пока обман не был раскрыт.
Эти случаи не имеют отношения к аутентификации. Не имеет значения, кто собрал данные переписи, кто составил конечные цены акций или кто ввел записи о регистрации автомашин – они касаются целостности. Но есть много других баз данных, где целостность важна: телефонные книги, медицинские записи, финансовые записи и т. д.
Когда один мой знакомый писатель-мистик появляется перед аудиторией, я всегда думаю, что хладнокровный способ убить кого-нибудь состоит в том, чтобы изменить базу данных дозировки препарата в больнице. Если врач недостаточно внимателен – например, он утомлен, препарат незнакомый, его отвлекает некий Мак-Гуффин, – он может прописать только то, что ему сообщает компьютер. Сегодня это может не сработать – рядом есть бумажный первоисточник, например настольный справочник врача или фармакологические стандарты препарата – но кто поручится за завтра?… Миллионы людей получают медицинскую информацию по Сети. Например, drugemporium com делает запрос другому сайту – drkoop com, чтобы получить информацию о возможной несочетаемости препаратов, которые вам назначены. Пользователей обычно предупреждают, чтобы они не полагались на информацию, взятую всего из одного источника, но большинство из них все равно будут поступать так, а не иначе. Кто-нибудь захочет поиграть с целостностью этих данных и причинит много вреда.
И даже если нет никакого преступного намерения, в любой сетевой системе, которая имеет дело с рецептами и лечением, лучше проводить проверку целостности, чтобы застраховать себя от случайных ошибок: никто не хочет, чтобы случайно измененный байт привел в итоге к смертельному случаю в больнице – ни пациент, ни компания, занимающаяся поставками программного обеспечения, которой придется иметь дело с судебными процессами.
В физическом мире люди используют материальную копию объекта как доказательство целостности. Мы доверяем телефонной книге, настольным справочникам врача и «Американским статистическим отчетам», поскольку это книги, которые выглядят настоящими. Если они фальшивы, значит, кто-то тратит много денег, чтобы они выглядели настоящими. Когда вы снимете с полки роман Диккенса и начнете читать его, вы не усомнитесь в его реальности. Точно так же с вырезкой из Business Week – это всего лишь клочок бумаги, но он выглядит и воспринимается как страница журнала. Если вы получаете фотокопию журнальной вырезки, то она только напоминает страницу журнала. Если кто-нибудь перепечатает статью (или загрузит ее из LEXIS-NEXIS) и пошлет ее по электронной почте вам, тогда… кто знает.
1 августа 1997 года я получил электронную почту от друга; в ней была копия речи Курта Воннегута в день присуждения университетских степеней в Массачуссетском технологическом институте. По крайней мере, я так предполагал. Мой друг переслал ее мне с честными намерениями. Но это не было речью Курта Воннегута на присуждении университетских степеней в 1997 году. В 1997 году Воннегут не выступал там. Он не писал этой речи и нигде не выступал с ней. Она была написана Мари Шмич и опубликована в ее колонке в Chicago Tribune 1 июля 1997 года.
Я сопоставил этот случай сомнительного авторства Воннегута с письмом, полученным мной приблизительно 15 лет назад, еще до появления Всемирной паутины, даже до того, как у меня появился адрес электронной почты (но уже во времена Интернета). Речь идет об эссе с названием «Мечта о будущем (не исключая омаров)»; друг отправил мне фотокопию по электронной почте. Копия была сделана непосредственно с публикации. Да, она могла быть сфальсифицирована, но это потребовало бы уйму работы. Это было до эры настольных издательских систем, и придать чему-либо вид фотокопии журнала Esquire было сложно и дорого. Сегодня отличить реальную вещь от «утки» уже сложно.
Я получал переданные по электронной почте статьи из журналов и газет. Кто может дать гарантию, что те статьи на самом деле из газет и журналов, хотя утверждается, что это так. Как я узнаю, что они не были искусно изменены: слово здесь, предложение там. Что если я сделаю эту книгу доступной интерактивно, и некие хакеры возьмут и изменят мои слова? Возможно, вы читаете эту книгу в Сети; остановитесь ли вы, чтобы подумать, что прочитанное вами может не быть написано мною, что вы верите серверу, с которого загрузили книгу. Является ли вера механизмом, который применим для проверки, что это мои слова? По прошествии достаточного количества лет многие люди будут читать переделанную версию книги – иную, чем мои настоящие слова. Думаете, кто-нибудь заметит это? Насколько задолго до измененной версии была создана «настоящая» версия? Когда протест Воннегута будет забыт и его речь на присуждении ученых степеней войдет в историю?
Соблазн подделывать или изменять данные велик. Покрытый рунами камень, найденный в Миннесоте, предположительно описывает визит викингов, и ничего, что он содержит слова, возникшие только в современном шведском языке. Поль Шлиман (внук Генриха Шлимана) претендовал на открытие секрета Атлантиды в старинных свитках майя, которые он прочел в Британском музее. Ничего, что никто не может прочесть письмена майя и что старинные свитки хранятся в Мадриде. Переписанная Бисмарком телеграмма Эмса в 1870 году развязала Франко-Прусскую войну. В 1996 году, когда Дэвид Селборн пытался протолкнуть свой перевод описания посещения Китая итальянским путешественником (обогнавшим Марко Поло на три года), он использовал «владельца манускрипта, согласившегося на перевод только в случае, если будет соблюдена строжайшая его анонимность», в качестве уловки, чтобы скрыть подделку.
Цифровой мир позволяет с легкостью осуществлять подобные вещи, потому что подделку настолько же просто произвести, насколько сложно выяснить истину. В мае 1997 года 13-летняя жительница Бруклина выиграла национальный конкурс по орфографии. Когда в New York Post была напечатана фотография Assoshiated Press, на которой девочка прыгает от радости, со снимка убрали название ее спонсора, нью-йоркской Daily News. Так же на видео: когда Си-Би-Эс показывала празднование Нового, 2000 года она добавила свою собственную эмблему к эмблеме корпорации NBC (30 на 40 футов). А поддельные эссе и речи, подобные речи Воннегута, путешествуют по Интернету постоянно.
Изображения способны оказывать мощные воздействия на людей. Они могут изменять мнения и оказывать влияние на внешнюю политику. Картины «Бури в пустыне» – загнанные в ловушку иракцы, ставшие жертвами снарядов военно-воздушных сил коалиции, сыграли большую роль в быстром прекращении огня: американцы не любят видеть резню. А помните Сомали? Кадры были взяты из тридцатисекундного видеоклипа: мертвую Марине (Marine) проволокли по улицам Могадишу для того, чтобы отбить у американцев желание воевать. Информация – это сила. В некоторых случаях видеоклип может быть и обманом.