Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

среда, 8 сентября 2010 г.

О темной стороне криптографии


    Сисадмин спросил Инь Фу Во:
    – Правда ли, что любой шифр можно сломать?
    Учитель ответил:
    – Можно. Но не "шифр", а систему из четырёх: алгоритм, реализация, окружение и оператор.
    Сисадмин ещё спросил:
    – А что из этих четырёх самое непрочное?
    – Стыки между ними, – ответил Учитель.

В сети продолжается святая война между разработчиками криптографических алгоритмов и теми, кто их вскрывает. Форумы пестрят бесконечными спорами, какой алгоритм надежнее, и достаточно ли делать криптоконтейнер в криптоконтейнере, который сам в криптоконтейнере и разделять ключ на 10 человек или нет. Сломали WPA2, "вскрыли" систему квантовой криптографии, придумали невскрываемый алгоритм (неужели изобрели одноразовый блокнот?). Даже в фольклере (как, например, в эпиграфе) рассматривается только "система из четырёх".
И почему-то нигде (в русскоязычных источниках) не рассматривается экономическая сторона использования шифрования.

Истории из жизни:
  1. После очередной утечки информации руководство принимает решение об обязательном шифровании. Вопрос выбора системы простой - спросили у безопасника. Тот почесал затылок и сказал: "ну, давайте использовать PGP - она надежная". Прописали в политику - всем все шифровать с использованием PGP - и почту и диски. А процедуры прописать забыли. Послушные сотрудники все зашифровали. Через какое-то время уходит один сотрудник из компании, потом другой. Обычная текучка - ничего сверхъестественного. А процесса отбирания ресурсов у увольняющихся сотрудников тоже нет. Через время этих сотрудников уже не найти, зато понадобились документы с их рабочих станций. А документы надежно защищены (PGP- диском). Пароля не знает никто - это же конфиденциальная информация. В финале, утеря информации в результате ее шифрования нанесла больше ущерб, чем утечки.
  2. Решила другая компания защищать свои ресурсы от утечек (что поделать, время такое). Разослали приказ - все все шифровать. Но централизованно ничего не внедряли - приказ дан, исполняйте, чего не понятного? Начинает каждое подразделение что-то свое покупать и внедрять. В результате обмен ключами и паролями занимает треть всего документооборота,  затраты на покупку всех систем для компании и на поддержание работы этого зоопарка вызывают приступы у финансов. Да, я говорил, что классификации информации никто не проводил? Поэтому зашифровали все - так надежнее. И не ясно - на сколько сократили потенциальные риски, но явно увеличили расходы на безопасность.


2 комментария: