Глубокая оборона может повысить безопасность, но лишает пользователей власти
Острота и сложности проблемы контроля доступа к корпоративным информационным ресурсам вынуждают ИТ-архитекторов встраивать криптозащиту буквально на всех мыслимых уровнях инфраструктуры и зашифровывать не только трафик между внешними границами отдельных систем, но и внутренние репозитории данных, а иногда даже потоки данных между процессорами и другими подсистемами.
Приветствуя принцип глубокой обороны (defense in depth), eWeek Labs тем не менее обращает внимание на то, что в рекламе этой идеи не такую уж малую роль играет своекорыстие производителей. В итоге системы могут стать более безопасными (если, конечно, не забывать, что бес может спрятаться в тонких деталях реализации проекта), но при этом нарушается баланс полномочий и покупатели попадают в зависимость от поставщиков закрытых систем, а потребители контента - в зависимость от более могущественных провайдеров.
Корпоративные пользователи должны четко представлять себе степень возможных потерь и внятно голосовать за свои интересы - кошельками и влиянием на законодателей и отраслевые органы стандартизации, если хотят сохранить свободу выбора на ИТ-рынке, где действуют жестские законы конкуренции оптимальных комбинаций продуктов.
Как известно, во втором полугодии нынешнего года корпорация Transmeta приступит к выпуску процессоров семейства Crusoe с внутрикристальными ускорителями популярных алгоритмов шифрования и защищенным внутрикристальным же хранением ключей и других секретных данных. Это откроет новые двери для кооперации изготовителей аппаратуры с разработчиками приложений по направлениям, предложенным в инициативах Palladium корпорации Microsoft и LaGrande компании Intel. Эти инициативы предусматривают возможность ограничения выбора ПО одобренным перечнем приложений и установления различных правил использования ПК или политик доступа (см. ссылки во врезке).
Долгое время считалось аксиомой, что компьютер выполняет роль насоса для перекачки байтов; при этом программа представляет собой поток байтов, декодируемых в команды, а данные - поток байтов с абсолютно любым содержательным смыслом. Предметом былых баталий программистов являлись возможные схемы декодирования для команд - от низкоуровневого машинного кода до байт-кода, который далее транслируется “виртуальной машиной” (пример - программы, написанные на Smalltalk или Java).
Не менее жаркие схватки велись и вокруг стандартов представления данных, начиная с простого ASCII-текста и кончая весьма сложными (и публично не раскрываемыми) форматами AutoCAD фирмы Autodesk или Microsoft Word. Хотя подобные форматы часто тоже именуют кодом, данное слово употребляется в смысле формы представления, а не сокрытия информации.
Паяльник некогда помог людям расширить диапазон операций, выполняемых компьютером, и точно так же, используя отладчик или другой низкоуровневый программный инструмент, в принципе, можно понять, что один компьютер (или даже какая-то его подсистема) сообщает другому.
Однако, если вернуться к терминологии математиков, этот факт является скорее не аксиомой, а постулатом. Можно изобрести такую геометрию, где вообще не будет параллельных прямых. Аналогичным образом можно построить компьютеры, где не будет такой вещи, как “free software”: free по Ричарду Столлману, в значении “свободное ПО”, а не “бесплатное”, как в выражении free beer - (бесплатное пиво).
Существует мнение, что ПО, которое всегда можно подкорректировать на двоичном уровне или модифицировать более обычным способом, имея доступ к исходному коду, со временем отойдет в историю, подобно лекарствам, не одобренным Федеральным управлением по медикаментам, или самолетам, не сертифицированным Федеральным авиационным управлением (если говорить о других технологиях, где приоритетом являются требования безопасности, выполнение которых ведет к неизбежному повышению цен, сужению круга поставщиков и гораздо более стесненным условиям для инноваций).
Разработчик ПО Адам Барр (автор книги “Гордо служа корпоративным хозяевам: что я усвоил за десять лет работы программистом Microsoft”) в очерке, опубликованном в июле прошлого года, пишет, что начало его профессионального пути было посвящено благородной цели - обеспечению безопасной загрузки ПК по сети. Занимаясь этой задачей в 1997 г., Барр столкнулся с проблемой организации защиты “загрузчика ОС” - первого исполняемого системой программного модуля, призванного гарантировать безопасность для всех последующих модулей (с помощью криптографической “подписи кода”).
“Умному хакеру под силу повредить загрузчик, чтобы это осталось незаметным, - пишет Барр, - а затем сделать так, чтобы измененный загрузчик загружал другую версию ядра, не осуществляющую проверку подписи кода. И с этого момента пользователь полностью теряет контроль над своим ПК (или, в самом худшем случае, поврежденный загрузчик может попросту отформатировать жесткий диск и на том завершить работу)”.
В универсальных ПК такая линия обороны заканчивается на ОС, после чего последняя берет на себя функции загрузки и выполнения приложений, выбранных по личному усмотрению пользователя. Однако, если отбросить в сторону традиции и привычные ожидания, ничто не мешает протянуть данную линию и в область приложений, как это делается в игровых системах вроде Microsoft Xbox или PlayStation корпорации Sony.
По иронии обстоятельств подобное расширение контроля может попросту передвинуть поле боя из области технологий в область бизнес-процессов. Например, если сотрудник бухгалтерии переключается со счетов дебиторов на счета к оплате, а соответствующие системы и программы вдруг допускают сбой в отмене прежних полномочий при предоставлении новых, возникает классическая возможность для мошенничества - независимо от любых ограничений на приложения, разрешенные к запуску на ПК, или на конфигурации, в которых этот ПК можно использовать. Причем возможности софтверных компаний выносить на рынок прогрессивные в практическом плане инновации будут существенно ограничены требованиями сертификации платформы.
Для тех, кто еще интересуется аксиомами, eWeek Labs предлагает такую: защита информации, достигнутая в результате сквозного шифрования в закрытых системах, не подлежащих критической оценке другими специалистами, будет неизбежно пробита хакерами, чьи атаки будут закамуфлированы под ту же самую защиту.
А покупатели дважды понесут дополнительные затраты - они заплатят больше за покупаемые системы и за то, чтобы понять, как их можно защитить.
С редактором по технологиям Питером Коффи можно связаться по адресу: peter_coffee@ziffdavis.com.
Под зонтиком
Первоисточники и цели идеи сквозного шифрования
- Управление цифровыми правами и конфиденциальность (Electronic Privacy Information Center) - www.epic.org/privacy/drm.
- Инициативы Microsoft Palladium и Intel LaGrande:
- EPIC - www.epic.org/privacy/consumer/microsoft/palladium.html;
- Белая книга Microsoft, “Palladium: Общие сведения для бизнеса” - www.microsoft.com/presspass/features/2002/jul02/0724palladiumwp.asp;
- Программное выступление на Intel Developer Forum (Пол Отеллини, президент и исполнительный директор Intel) - www.intel.com/pressroom/archive/speeches/otellini20020909.htm.
- FAQ по инициативам Trusted Computing и Palladium (Росс Андерсон) - www.cl.cam.ac.uk/%7Erja14/tcpa-faq.html.
- Trusted Computing и Palladium: позиция Sony (Адам Барр) - www.kuro5hin.org/story/2002/7/9/17842/90350.
Все эти ссылки также имеются на странице www.eweek.com/links.