Прогресс в области математики ставит под угрозу безопасность в Интернете

21.08.2013

Вернуться к списку новостей

Алгоритмы, подобные RSA, уже становятся менее пригодными для шифрования, потому что современных вычислительных мощностей хватает для проведения атаки методом “брутфорса” (методом простого перебора) за какое-то разумное время. Поскольку RSA основан на сложности факторизации больших чисел, вполне понятно, что как только эта сложность исчезнет, алгоритм перестанет быть достаточно надежным для серьезного применения. С другой стороны, для защиты действительно важных данных, которые могут интересовать тех, кто располагает такими вычислительными мощностями, есть другие алгоритмы, например, тот же AES. Для пользовательского шифрования хватает и теперешнего набора средств, главное, использовать достаточно длинные ключи. По крайней мере этой логики придерживаются Google и некоторые другие крупные компании, объявившие о переходе на SSL-сертификаты с ключами 2048 бит.

Вообще, это нормальная ситуация, когда одно поколение средств криптографической защиты сменяется другим, ведь сейчас уже никто не пользуется “XOR’ами”, которые на заре развития ИБ были очень даже актуальны. Просто сейчас мы наблюдаем очередной виток этого развития.

Самая уязвимая часть любой криптографической системы – это человек, который её использует. Данные многолетних исследований показывают, что наиболее часто утечки данных происходят тогда, когда шифрование просто отключается, что называется, “для удобства”. Поэтому основная проблема средств защиты сегодня даже не в том, что они каким-то образом подвержены взломам, а в том, что конечные пользователи часто сами ими пренебрегают. Взгляните на ситуацию с паролями. Криптостойкие пароли существуют, но люди всё равно используют дату своего рождения, потому что “вашу белиберду невозможно запомнить”.

Безусловно, всегда есть и чисто технические проблемы, но они, как правило, связаны не с уязвимостью какого-либо алгоритма как такового, а с ошибками в его реализации или с программными интерфейсами, в которых эта реализация применяется.

Наиболее часто под угрозой сегодня находятся данные о банковских счетах, банковских картах и прочие данные, которые злоумышленники могут легко и быстро “монетизировать”. Также достаточно часто страдают логины и пароли от электронной почты, социальных сетей – с их помощью затем рассылают спам или расширяют площадь атаки, на чем, в конечном счёте, зарабатывают деньги. Те данные, на которых трудно заработать, сегодня сетевых преступников не интересуют.

Закупка печатных машинок после инцидента со Сноуденом (в июле в СМИ появилась информация, что печатные машинки, опасаясь утечек, закупает ФСО — прим. ред.) – это что-то наподобие закупки танков времен Второй мировой перед угрозой ядерной войны. Бумажные документы так же легко утекают из организаций, как и электронные, но при этом их утечку невозможно отследить с помощью современных средств, таких, например, как российская разработка “Контур информационной безопасности”. Тем не менее, рациональное зерно в поступке есть, т.к. правила хранения и защиты такой информации разработаны давно и оттачивались десятилетиями.

Что касается приватности e-mail-переписки, то для того, чтобы обеспечить её, нужно посылать сообщения в зашифрованном виде. Чтобы массово перейти на такую переписку, надо менять существующую сегодня e-mail-инфраструктуру, что, естественно, требует большого количества времени и затрат. Но основная проблема по-прежнему в людях. Уже появились плагины и “аддоны” к браузерам, позволяющие через тот же Gmail организовать шифрованную переписку. Но сколько людей пойдёт на это? К сожалению, меньше, чем хотелось бы, так как придётся думать головой и совершать дополнительные действия. Поэтому, скорее всего, электронная почта навсегда останется не самым защищенным каналом коммуникации.

Лучшее, что можно сделать, чтобы себя обезопасить – не пользоваться социальными сетями и вести переписку только по защищенным каналам – таким, к примеру, является Skype (и то, сомнительно, особенно после покупки Microsoft). Нужно понимать, что любые незашифрованные данные, которые вы отправляете в Сеть, могут быть кем-то перехвачены и как-то использованы, поэтому нужно внимательно относиться к тому, кому и что вы отправляете.

Источник