infowatch (infowatch) wrote,
infowatch
infowatch

Categories:

Наследование дырки

Субстанция, накинутая Сноуденом на вентилятор (ещё до того момента, когда с него взяли обещание не гадить в сторону США), начинает портить атмосферу. В частности, он тогда рассказал про закладку не где-нибудь, а в стандарте, утверждённом NIST. Институт дырку признал. Назвали имя алгоритма: Dual_EC_DRBG. Теперь начинают признаваться компании, реализовавшие ущербный алгоритм. Первой была "RSA Security", ожидается "Майкрософт".
       

Возможна ли такая ситуация в России? Предпосылки-то есть. Но если произойдёт, то покаянные признания мы вряд ли услышим – как от органа стандартизации, так и от разработчиков. Можем даже услышать нечто обратное. Иллюстрирую примером.

В одной знакомой компании сделали продукт с шифрованием. ФСБ, лицензиатом которой компания являлась, потребовала, чтобы в версии продукта "не для гостайны" шифрование было ослаблено до уровня "56 бит". Это можно было осуществить сотней способов. Какой же выбрали разработчики? Истинно русский человек догадается с одного раза. Ограничили длину пароля, из которого делался ключ шифрования. Причём ограничение это снималось без следа правкой всего двух байтов исполняемого кода. Каких именно байтов – узнать легче лёгкого, если только вас не забанили в Яндексе.

Это вам про строгость законов. А про обязательность – вторая история, её ваш покорный слуга слышал в 1984 году от ветерана, вместе с которым лежал в больнице.

Наш герой попал в плен в 1942-м и через некоторое время был отправлен на работы в трудовой лагерь где-то в Бельгии или Голландии. По пути ему удалось бежать из эшелона, но далеко не ушёл: из-за голода и мороза свалился без сил и замёрз бы, но подобрали местные жители. Добрые европейцы унесли в дом, вылечили, выходили, накормили. А после окончательного выздоровления честно сдали пленного оккупационным властям. Закон превыше всего.

Я это к тому, что сомнений нет – уязвимость была реализована честно. Честно ли будут её вычищать из сотен продуктов – тоже сомнений нет.

Tags: НДВ, криптография, утечки
Subscribe

  • Поверьте машинам – это выгодно

    Беспилотные автомобили, созданные Google, за шесть лет прошли более 2,7 миллиона километров. По статистике компании, за все время…

  • Технологии на службе у кадровика

    Новостные ленты взорвало сообщение о сотруднице Sberbank CIB, которой удалось отсудить у своей бывшей компании 4,6 млн долл. в качестве компенсации…

  • Конец истории

    Все государства в бешеном темпе внедряют биометрическую идентификацию. Возможно, со стороны это внедрение кажется неспешным. Но масштабная…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 4 comments