«Систем с абсолютной безопасностью не существует»

Discussion in 'Мировые новости. Обсуждения.' started by facobaff, 26 Apr 2015.

  1. facobaff

    facobaff Member

    Joined:
    9 Jan 2013
    Messages:
    30
    Likes Received:
    9
    Reputations:
    0
    [​IMG]

    Тридцать лет назад Ади Шамира (Adi Shamir), одного из создателей RSA-алгоритма, попросили произнести речь на открытии конференции, и он изложил свое видение компьютерной безопасности. Это был свод годами наработанных принципов в отношении криптографии и безопасности систем. В минувший вторник, выступая на очередной конференции RSA, Шамир отметил актуальность многих из этих постулатов и заявил, что отнюдь не удивлен тем, что за 30 лет мало что изменилось, пишет Деннис Фишер в блоге «Лаборатории Касперского».

    Первый закон Шамира гласит: систем с абсолютной безопасностью не существует и никогда не будет существовать.

    Это утверждение покажется большинству современных ИБ-специалистов совершенно очевидным, но в далеком 1980 году царил оптимизм, все считали, что компьютеры и сети можно будет полностью обезопасить. Криптографии прочили титул спасительницы информационной безопасности, однако со временем оптимизм ослаб и почти совсем пропал. В наше время безопасность систем и сетей в основном представляется в виде битвы умов, битвы, в которой защитники зачастую проигрывают.

    Второй закон Шамира: криптографию не сломают, ее обойдут.

    Надо признать, что, как и первый принцип, он до сих пор верен. Десятилетия криптоанализа и исследований распространенных алгоритмов показали наличие ряда проблем, но в большинстве случаев атакующие обходят шифрование, а не пытаются его взломать. Лобовая атака на криптосистему — это почти непосильная и заведомо безнадежная задача, даже для самых продвинутых и хорошо финансируемых злоумышленников.

    Возьмем, к примеру, АНБ. Как показали документы Эдварда Сноудена, даже эта организация, на службе которой состоит больше криптографов, чем где-либо еще в мире, тратила свое влияние и интеллектуальную мощь на попытки подорвать криптографические стандарты и найти способы обхода, к примеру, того же SSL. Вместо того чтобы атаковать криптосистемы, АНБ стремится найти лазейки в других частях головоломки.

    В заключение Шамир заявил, что попытки устранить все возможные уязвимости в конкретной программе ныне так же бессмысленны, как и 30 лет назад.

    «Если вы стараетесь вычистить все до последнего бага или остановить атакующего уровня АНБ, то вы, скорее всего, попусту потратите деньги», — отметил он.

    25.04.2015 http://news.softodrom.ru/ap/b21836.shtml
     
    #1 facobaff, 26 Apr 2015
    Turanchocks_ likes this.
(You must log in or sign up to post here.)