Доклады, выступления, видео и электронные публикации

Не для всей семьи I

Сегодня главным преимуществом практически любого товара и услуги стала возможность употребить предлагаемое всей семьей. Обувные магазины, фильмы, рестораны, книги, и даже газеты - хороши, если они <для всей семьи>. С определенными оговорками можно согласиться, что совместное прочтение газеты или поход за обувью, действительно, сближают и организуют культурный досуг. А хотите ли Вы, чтобы приходящие Вам по электронной почте результаты медицинского обследования были тоже <для всей семьи>? Кто-то может возразить, что в кругу родных не может быть секретов - что ж, возможно, даже если этот круг включает тещу и племянника. Но каждый знает по личному опыту, что подчас письмо подруги, не содержащее по сути никаких секретов, приходится удалять, чтобы случайно не прочитала мама (или дочь) - просто потому, что они пользуются обычно, скажем, несколько иной лексикой.

Человеку свойственно создавать вокруг себя персональную среду. Неслучайно у каждого из нас - своя записная книжка, свое любимое кресло, настроенное на нужную высоту и наклон спинки, свой собственный беспорядок на столе, в котором мы ориентируемся гораздо лучше, чем после уборки. Это все не потому, что <секрет>, а потому что удобно.

Персональная информационная среда важна не меньше, а часто и больше - достаточно вспомнить сложности работы в командировке на чужом компьютере - когда во время работы вечно не хватает каких-нибудь логинов и паролей, которые <думал, что помню>, а после работы - мучают сомнения, стер ли свои файлы, адреса, явки:

Как же создать и, что важнее - сохранить - персональную информационную среду, если Ваш компьютер - <для всей семьи>?

Вывод напрашивается сам собой - раз компьютер этого обеспечить не может, то нужно какое-то другое устройство - персональное, которое сможет скрыть от чужих глаз то, что нужно (или просто хочется) скрыть, которое позволит убедиться в том, что файл или сообщение отправлено Вам действительно тем, кто значится в отправителе, и которое, наконец, будет не только надежно хранить все Ваши логины и пароли (что само по себе уже многое), но и заполнять вместо Вас формы авторизации, не путая регистры, клавиатурные раскладки и порядок символов.

Однажды, столкнувшись с тещей, командировкой и трудностью запоминания сложного для подбора пароля, мы разработали такое персональное устройство: Персональное средство криптографической защиты информации (ПСКЗИ) ШИПКА.

ШИПКА - это USB-устройство (то есть как-то неправильно его подключить - совершенно невозможно), представляющее собой специализированный компьютер размером со среднюю флешку. Этот компьютер имеет собственный процессор, который реализует криптографические алгоритмы - самостоятельно, без участия процессора того компьютера, в USB-разъем которого ШИПКА вставлена, и все прочее, что есть у любого компьютера - память, порты ввода-вывода и т. д.

Слово <криптография> наводит на мысли о том, что все это нужно либо шпионам (и, конечно, разведчикам), либо в крупном бизнесе. И в любом случае - что это очень сложно. Когда-то и фотография представлялась чем-то исключительно сложным, но фотоаппараты, пользоваться которыми может и ребенок, - уже никого не удивляют. Криптография тоже может быть простой и удобной в использовании.

Основное назначение ШИПКИ - шифрование и подпись файлов и сообщений электронной почты электронной цифровой подписью (ЭЦП).

При этом, что очень важно, для того чтобы шифровать или подписывать ЭЦП с помощью ШИПКИ, не требуется ни <учить матчасть> - то есть приобретать какие-то специфические знания или навыки, ни устанавливать на компьютер какое-то дополнительное программное обеспечение, кроме ПО ШИПКИ. Поэтому пользоваться ШИПКОЙ может человек любого уровня подготовки и на любом компьютере, а не только на каком-то одном строго определенном. Отправить подписанное ЭЦП письмо Вы можете не только из дома или с работы, но и, например,  находясь в гостях.

Заметим, что зашифровать или подписать ЭЦП сообщение электронной почты можно и без ШИПКИ - штатными средствами, встроенными в почтовые программы. Для этого необходимо выработать ключи и сертификаты[1].

Теперь давайте проанализируем, что и кем подтверждается, если письмо подписывается средствами установленной на компьютере операционной системы на ключах, сгенерированных этой же системой и хранящихся в ней же, и подлинность подписи подтверждается с помощью сертификата, выданного этой же системой, и хранящегося в ней же.

Подтвердить таким образом мы можем только то, что письмо отправленно: с этого компьютера и с использованием этой учетной записи. Ключи и сертификат при таком положении вещей никакого отношения к Вам лично не имеют. Получается, что это ключи и сертификаты <для всей семьи>.

Имеют ли эти манипуляции смысл? Всякий, кто сел в мое отсутствие за мой компьютер может не только отправить от моего лица подписанное моей ЭЦП письмо, но и прочитать мою собственную зашифрованную корреспонденцию, если я не удалила ее из <Отправленных>, и те зашифрованные письма, которые находятся во <Входящих>. При этом воспользоваться своими сертификатами в почтовой программе на другом компьютере, даже если я использую в ней ту же учетную запись, я не смогу без дополнительных манипуляций, которые, помимо усложнения жизни, влекут за собой еще и снижение защищенности (скопирую ключи и сертификат на дискетку, а ее украдут).

Иначе обстоят дела при использовании ПСКЗИ ШИПКА С помощью ШИПКИ можно генерировать ключи, которые будут храниться в устройстве, а не в компьютере, получать сертификаты УЦ или выписывать себе самоподписанные сертификаты, сохраняя их непосредственно на устройство - и, имея всю эту информацию с собой, а не на том или ином компьютере - использовать на разных компьютерах.

Более того, в Ваше отсутствие никто другой не сможет отправить подписанное <Вами> письмо или прочитать зашифрованное письмо - будь оно в <Отправленных> или во <Входящих>.

С помощью ПСКЗИ ШИПКА работать таким образом можно в почтовых программах Outlook, OutlookExpress и The Bat! (как с использованием настроек CSP - интерфейса для работы с криптографией Microsoft, так и с использованием программы PGP, использующей интерфейс PKCS#11).

С шифрованием все еще проще.

Вставил ШИПКУ, зашифровал файл, и теперь его никто не сможет прочитать, пока не расшифрует. Это значит, что файл находится на диске (или послан по почте) в преобразованном виде, и открыв его без расшифровывания, пользователь увидит лишь набор значков (даже если зашифрован вовсе не текст, а, например, фотография). Расшифровать можно либо с помощью этой же ШИПКИ, либо с помощью ключа шифрования, который Вы в зашифрованном виде передали адресату. Процедура обмена ключами простая и пошагово описана в документации, а при генерации ключей есть возможность давать им описания на русском языке, что поможет на запутаться, на каком ключе Вы шифруете для, а на каком от того или иного человека.

Даже если Вы случайно оставили свою ШИПКУ, выходя, рядом с компьютером, любопытствующие не смогут воспользоваться ее возможностями, не зная ПИН-кода.

Всей семьей должно быть возможно поместиться в автомобиле. Или посмотреть комедию в выходной день. А что касается Вашей личной информации - то Вам и только Вам решать, что станет всеобщим достоянием, а что - нет.

Автор: Конявская-Счастная (Конявская) С. В.

Дата публикации: 01.01.2008

Библиографическая ссылка: Конявская С. В. Не для всей семьи I // Computerbild. 2008. № 12. С. 9.


Scientia potestas est
Кнопка связи