Брюс Шнайер
Секреты и ложь. Безопасность данных в цифровом мире
Программы стеганографии существуют, чтобы скрывать файлы на вашем жестком диске. Это может работать, но вам по-прежнему нужна жизнеспособная история. Таким образом, есть определенные достижения по сравнению с простым шифрованием – по крайней мере, в свободных странах вы сможете доказать, что полиция не имеет реальных оснований для обвинения, – но вы должны тщательно все обдумать.
Скрытые каналы
Одна из проблем, связанных с применением стеганографии, – ширина полосы пропускания. Легко скрыть несколько битов информации; спрятать целое сообщение электронной почты намного труднее. Рассмотрим пример совершенно разумного использования стеганографического канала передачи данных: Алиса и Боб должны обсудить, является ли некое отдельное действие «безопасным» или «угрожающим». Это один бит информации. Они регулярно обмениваются рецептами по электронной почте и договорились, что ключевая фраза «продублируй рецепт» будет индикатором сообщения. Если в послании сказано, что рецепт может быть продублирован, действие безопасно. Если же в нем говорится, что рецепт не может быть продублирован, соответствующее действие опасно. Любой рецепт без ключевой фразы не содержит скрытого сообщения.
Этот вид систем работает, поскольку секретное послание много-много меньше, чем скрывающее его сообщение, и в общем случае называется скрытым каналом (subliminalchannel) (похоже на тайный канал, описанный в главе 8). Скрытые каналы так же стары, как компьютеры, и всегда использовались недобросовестными программистами для «скачивания» информации без согласия пользователей. Представьте, что вы программист и делаете отчет по клиентам банка, и вы хотите запустить свои руки в картотеку индивидуальных номеров (PINs). Вас не уполномочили проверять реальные данные, но доверили вам написать код для получения отчета по базе, содержащей PINs. И вы можете посмотреть отчеты, которые были сделаны раньше. Программа создания отчета добавляет пробелы после данных каждого клиента, от 0 до 9, в соответствии с одной цифрой его PIN. Пусть теперь построитель отчета использует первую цифру в первый день, вторую цифру во второй день, и так далее, пока цикл не будет завершен и мы не возвратимся к первой цифре. Вот именно. Если программист сможет приложить руку к созданию электронного отчета в течение четырех дней, он справится с восстановлением всех индивидуальных номеров. (Действительно, он имеет четыре возможных варианта для каждого номера, в зависимости от того, какая цифра использовалась построителем отчета. Легко понять, что к чему.) Ни один из тех, кто будет смотреть отчеты, не увидит в них ничего злонамеренного, и пока они не проверят код, используемый для создания отчета (а как часто это случается?), никто не узнает, что индивидуальные номера раскрыты.
Есть история о солдате, которому не разрешали говорить, где он служит. У него не было среднего инициала, и он послал серию писем своей подруге, используя в подписи различные средние инициалы; таким образом он дал знать, где находится.
Теперь, когда вы имеете представление об общей идее, вы можете подумать обо всех возможных способах внедрения скрытых каналов в документы: выборе шрифтов и размерах шрифтов, размещении данных и графики на странице, использовании различных синонимов в тексте и т. д. Многие протоколы шифрования позволяют воспользоваться выбором параметров в целях создания скрытого канала: выбором случайных битов для дополнения или неиспользованных битов полей. До тех пор пока вы не слишком жадничаете и согласны черпать информацию чайной ложечкой, несложно организовать скрытый канал в системе.
Вы можете организовать утечку всего что угодно. Индивидуальные номера – хороший пример. Другой пример – ключи шифрования. Создание устройства для шифрования, в котором информация о ключах утекает по скрытому каналу, – замечательный способ атаковать кого-нибудь.
Скрытые каналы, внедренные недобросовестными программистами, обнаруживались во всех видах программного обеспечения спустя какое-то время. Разведывательные организации, подобные NSA, долгое время подозревались во внедрении скрытых каналов, по которым идет утечка информации о ключах криптографического оборудования, проданного иностранным правительствам. Недавний скандал, в котором фигурировала шведская компания Crypto AG, подтверждает это. Побочные каналы, обсуждавшиеся в контексте главы 14, где речь шла об аппаратных средствах сопротивления вторжению, могут рассматриваться как действующие скрытые каналы.
Заметим, что для скрытых каналов существует та же проблема, что и для стеганографии – каждый, кто удосужится проверить программное обеспечение, может обнаружить скрытый канал. Но внедренные в сложное программное обеспечение, а еще лучше в аппаратное обеспечение, они могут оставаться незамеченными в течение долгого времени.
Цифровые водяные знаки
Мы говорили об интеллектуальной собственности в главе 3. К слову сказать, компании, подобные компании Диснея, собираются торговать «в розницу» своей интеллектуальной собственностью – музыкой, видеоклипами, фотоснимками, чем угодно – в цифровой форме. Они не хотели бы, чтобы люди копировали Русалочку (The Little Mermaid) и свободно распространяли ее через Интернет. Они не хотели бы, чтобы люди крали части различных изображений – даже простейшего изображения Микки-Мауса – и использовали их без уплаты определенного вознаграждения автору. Они хотят осуществлять контроль над своей собственностью.
Цифровые водяные знаки – один из способов достижения этой цели. Их можно считать скрытым каналом или одним из приложений стеганографии. Идея состоит в том, чтобы вложить секретную информацию в материал, и тогда нетрудно будет определить, кто его законный владелец. Это похоже на бумажные водяные знаки: бумага с водяными знаками распространяется везде и передается от человека к человеку, но любой может посмотреть ее на свет и увидеть водяные знаки.
В действительности есть два различных термина. Создание водяных знаков (watermarking) позволяет идентифицировать неизменяемую информацию, а использование отпечатков пальцев (fingerprinting) дает возможность идентифицировать конкретного покупателя.
Например, водяной знак Русалочки будет говорить нам нечто вроде: «Собственность Диснея», тогда как цифровой отпечаток пальца на этом фильме скажет нам следующее: «Куплено Алисой 1 января 2001 года».
Цифровые водяные знаки и отпечатки пальцев всем хороши, кроме одного. Скопируйте бумагу, и водяные знаки пропадут. Скопируйте цифровой файл, и водяные знаки перейдут на копию. Может быть, мы не в силах предотвратить копирование, считают в компании Диснея, но мы по крайней мере можем указать пальцем на каждого, кто сделал копию. И я видел водяные знаки на множестве вещей: графике, изображениях, аудио, видео… даже в данных биржевых телеграфных аппаратов и компьютерных программ.
Таким образом, в зависимости от того, какие данные вы заложили в водяные знаки, вам предоставлена одна из двух возможностей. Во-первых, можно определить, кто обладает авторскими правами. Во-вторых, если каждая проданная копия Русалочки будет снабжена водяными знаками, указывающими на имя и адрес того, кто ее купил, станет возможным установить также и покупателя: тогда, если копия появится в Интернете, компания Диснея сможет найти виновного.
Замечательная идея, только не работает.
Проблема в том, что для того, чтобы Дисней смог найти внедренные в копию Русалочки водяные знаки, должна существовать возможность их обнаружения. Но если Дисней может их найти, пират может сделать то же самое. Компании, продающие подобные вещи, постараются объяснить вам, что их схема создания водяных знаков не позволяет удалить эти знаки по той или иной технологической причине.
Но это неправда. Может быть, так же как в случае со скрытым каналом, невозможно найти хорошие водяные знаки, если вы не знаете точно, куда смотреть. Но в отличие от скрытого канала, механизм обнаружения в данном случае в конце концов станет известным. Либо информация просочится в сообщество хакеров, как это обычно бывает, либо она станет доступной общественности при первом же случае судебного разбирательства. Механизмы создания водяных знаков в итоге все равно становятся известными, и когда это происходит, можно осуществить обратный процесс и удалить знаки с изображения.
Это может оказаться нелегким делом. Разные хитроумные трюки способны затруднить этот процесс, но все же это не является невозможным. И сообразительный хакер вполне в состоянии написать программу, автоматически удаляющую водяные знаки, как только он поймет, как это работает.
Другим слабым местом водяных знаков является то, что они не решают стоящей перед ними задачи. Создание водяных знаков должно позволить компании указать на ее цифровую собственность, которая должна оставаться неприкосновенной и сказать: «это мое». Осуществить это достаточно сложно, и водяные знаки не могут воспрепятствовать изменению цифровых данных, являющихся чужим имуществом. Также водяные знаки не обязательно укажут точно на нарушителя авторского права. Представьте, что каждая копия Русалочки снабжена водяными знаками с информацией о покупателе. Но как продавец установит личность покупателя? Это возможно только в том случае, если имеются защищенные от подделки документы. Однако нет способа воспрепятствовать злоумышленнику нанять за 10 долларов бездомного пьяницу, чтобы тот зашел в видеосалон и купил для него фильм. Таким образом, он получит копию с внедренными водяными знаками, указывающими на того, кто, скорее всего, не слишком беспокоится, что Дисней его опознает, и с кого нечего взять, если Дисней надумает предъявить к нему претензии.
Наличие водяных знаков может вызвать чувство вины у бабушки, когда она копирует Русалочку для своих внуков. Но нельзя помешать тайваньским пиратам стереть водяные знаки и выбросить на черный рынок полмиллиона копий фильма. Водяные знаки также не могут воспрепятствовать кому бы то ни было использовать подставное лицо, чтобы законным образом приобрести копию и ни о чем больше не беспокоиться.
Защита от копирования
Эту проблему легко описать, но гораздо труднее решить. Компании, производящие программное обеспечение, хотят, чтобы люди покупали их продукцию; их приводит в бешенство, когда кто-нибудь делает копии коммерческой программы, которая стоит сотни долларов, и раздает ее своим друзьям. (Правда, теперь им это даже нравится в каком-то смысле. Они понимают, что если некто, вовсе не собиравшийся приобрести законную копию, получит возможность попользоваться программой и придет от этого в восторг, всяко он или его босс в итоге приобретут эту программу, а не продукт конкурентов. При распространении программы WordPerfect большую роль сыграла эта схема, которая во многом способствовала росту ее популярности.) Сказанное в первую очередь относится к распространению компьютерных игр и к распространению программ в тех странах, где слабо обеспечивается защита авторских прав: в этих случаях большинство пользователей скорее предпочтут приобретение пиратской копии покупке программы законным образом. (С подобной проблемой сталкиваются продавцы книг, кинофильмов, видео и т. д. – им не выгодно, чтобы их продукцию копировали.)
Существует много решений – встроенный в программное обеспечение код, который препятствует копированию, код, который обращается к некопируемым фрагментам оригинального диска, аппаратные средства, которые приводят в действие программные механизмы, – и я не буду здесь вдаваться во все детали. Они все обладают одним существенным недостатком: дело в том, что практически невозможно защитить от копирования программное обеспечение многоцелевого компьютера.
Если мы имеем дело с компьютерным пользователем Джо Середнячком, то любая система защиты от копирования работает. Он сможет скопировать обычные файлы, следуя указаниям, но ему не придет в голову взломать сложную схему зашиты от копирования. Если же мы имеем дело с Джейн Хакер, никакая система защиты от копирования не сработает.
Дело в том, что Джейн управляет работой своего компьютера. Она может запустить программы обнаружения ошибок, восстановить исходный код, проанализировать программы защиты. Если она достаточно сообразительна, она сможет разобраться в программном коде и изменить коды программ защиты. Производители программного обеспечения не сумеют сделать ничего, чтобы остановить ее: все, что они могут сделать, это усложнить ее задачу. Но это только послужит вызовом для Джейн.
Существует множество таких Джейн, которые выбрали своим хобби взломы подобных систем. Они «болтаются» по Сети, продавая нелегальное программное обеспечение. Другие делают это для получения прибыли. Они работают в Китае, Тайване и еще где угодно, взламывая системы защиты от копирования и перепродавая программное обеспечение в десять раз дешевле розничной цены. Они способны разрушить даже самый сложный механизм защиты. Урок, который мы должны вынести из того, что эти люди существуют, – это понимание, что любая схема защиты от копирования может быть взломана.
Защитная заглушка – это последнее слово техники в искусстве создания систем защиты от копирования. Она представляет собой аппаратное средство, подсоединенное к компьютеру, обычно к параллельному порту. (Конфликты с другими механизмами, подсоединенными к параллельному порту, или с другими заглушками проявляются лишь в редких случаях.) В процессе выполнения программ часто используется обращение к заглушкам; например, через каждую тысячу нажатий на клавиатуру или щелчков кнопкой мыши; или когда пользователь пытается сохранить данные; или каждый раз, когда он выбирает вид оружия в компьютерной игре. Если заглушка не отвечает на запрос или отвечает некорректно, программное обеспечение прерывает свою работу. Или, что более эффективно, продолжает работать, но при этом выдает неправильные результаты. (В версии Autodesk's 3D Studio 1992 года заглушка использовалась для создания в памяти таблицы, которая требуется для правильного отображения трехмерной геометрии. Удаление заглушки приводило к тому, что программа работала неправильно в течение нескольких часов: сначала это происходило почти незаметно, но чем дальше, тем хуже. Autodesk был вынужден в спешном порядке давать ответы на множество запросов незарегистрированных пользователей, жалующихся на странную ошибку в этой версии.)
Запросы к заглушкам всегда зашифрованы, и сами они защищены от аппаратного перепрограммирования множеством различных хитростей. Тем не менее программы, использующие заглушки, по сей день регулярно взламываются без применения ухищрений, направленных на преодоление криптографии или системы сопротивления вторжению.
Как это происходит? Хакеры вне зависимости от того, устояла заглушка или нет, внедряются в код и удаляют из него все обращения к ней. Это кропотливая работа: хакеры должны просмотреть весь код строку за строкой, функцию за функцией, вызов за вызовом. Им необходимо подключить логический анализатор к заглушке и проследить адреса обращений к ней. Сложная программа может содержать десятки мегабайтов кода. Но вспомним, что было сказано в главе 2, и мои рассуждения о том, чем Интернет отличается от реального мира: лишь первый взломщик должен добиться успеха, взломанной версией программы смогут пользоваться все остальные.
Несмотря на успехи пиратов, компании-производители не прекращают попыток защитить свою продукцию от копирования. Версия Quake 1996 была выпущена на зашифрованном компакт-диске: позволено было использовать ее практически бесплатно, если позвонить в компанию и приобрести пароль. Однако и она была взломана, так же как и все другие популярные программы, имевшие защиту от копирования.
Взломанные программы называются warez, и каждый может самостоятельно собрать целую их коллекцию, блуждая по Интернету. Вы не найдете соответствующие руководства, но в вашем распоряжении есть множество полезных книг.
Производители средств защиты от копирования стараются сохранить свои позиции, ссылаясь на возможности новых технологий в этой области. Они уверяют, что серийный номер микропроцессора является гарантией того, что законно приобретенная программа будет установлена на одном-единственном компьютере. Они рассуждают о возможности применения кодирования с использованием особенностей конкретной материнской платы. Все это неправда. Это может удержать Джо Середнячка от распространения программ, имеющихся в его распоряжении, но не остановит Джейн Хакер от того, чтобы взломать программу и предоставить ее версию для всеобщего пользования.
Двоякая природа рисков в этом случае точно такая же, как и рассматривавшаяся в связи с проблемой водяных знаков. Посмотрите, что происходит в видеоиндустрии: пиратство было гораздо менее распространено, когда видеомагнитофоны были еще в диковинку. Тому есть две причины. Во-первых, изящная защита от копирования не позволяла Джо Середнячку использовать для этих целей ни один из существовавших видеомагнитофонов. Во-вторых, розничная цена видеозаписей была настолько низка, что все ухищрения Джейн Хакер были экономически не оправданны.
Что действительно интересно в связи с проблемой защиты от копирования и пиратства, так это идея о том, что проблема на самом деле не существует. Не столь важно защитить от копирования коммерческий продукт. В условиях конкуренции ключевым моментом является распространение продукта на рынке. Многие компании руководствуются принципом: пираты не причинят нам ущерба, если наша продукция не пользуется спросом. Это вроде того, как если кто-то принимает наши телепередачи вне нашей сети. Почти все те, кто крадет наши программы, не в состоянии заплатить за них. Однако когда эти пираты окажутся перед выбором, они будут покупать нашу продукцию, а не продукцию конкурентов. Пиратство оказывается неожиданным средством рекламы.
Компания Microsoft имела в виду именно это, когда переводила свои программы на китайский язык и распространяла их в этой стране. Было очевидно, что программы будут взламываться, но потери будут составлять меньше одной десятой со всех продаж. Часто цитировали слова одного из сотрудников Microsoft, Стивена Бальмера: «Готовность к тому, что ваши программы будут взламывать, означает, что вы понимаете – это будут ваши программы, а не конкурентов. Важно, чтобы в развивающихся странах на рынке были широко распространены краденые программы». Когда Китай войдет в число свободных стран, он будет ориентироваться на продукцию Microsoft. До тех пор Microsoft ничего не теряет. В этом состоит стратегия бизнеса[44].
Уничтожение информации
Очень часто возникает необходимость уничтожения информации. Если вы хотите удалить секретный файл со своего компьютера, вам хочется быть уверенными в том, что никто впоследствии не сможет восстановить его. Если вы используете секретный ключ шифрования связи – телефонных переговоров, например, – вам хотелось бы, чтобы ключ был уничтожен по окончании разговора и никто не смог бы воспользоваться им.
Уничтожение информации оказывается делом гораздо более сложным, чем это можно себе представить.
Когда вы удаляете файл с магнитного диска (жесткого, гибкого диска), данные в действительности не уничтожаются. (Поэтому и возможно их восстановление с помощью утилиты unerase.) Файл попросту помечается как «удаленный», и впоследствии соответствующие биты перезаписываются новыми данными. Единственный способ полностью удалить файл с магнитного диска состоит в том, чтобы записать на его место другой файл. Некоторые утилиты удаления именно это и делают.
Менее известно, что существуют технологии, позволяющие восстановить удаленные данные, даже если на их место были записаны новые. Я не буду вдаваться в премудрости этой науки, но вы можете представить, что перезапись некоего фрагмента является попросту записью в его начало. Некоторые данные, расположенные ниже, сохраняются. И когда вы вновь производите перезапись, сохраняются фрагменты двух предыдущих записей, и т. д. Технология, известная под названием «магнитная микроскопия», позволяет восстановить данные после многократной перезаписи. Сколь много может быть перезаписей, точно не известно, некоторые утверждают, что до десяти.
Эти «микроскопы» достаточно дороги (хотя любительские версии дешевеют), и проверки такого рода доступны только государственным структурам. Если у вас возникает беспокойство в связи с интересом государственных служб, единственным действенным способом уничтожения информации на магнитном диске будет стереть его в порошок.
Уничтожить данные, оказавшиеся в аппаратуре, нелегко. Как SRAM, так и DRAM сохраняют некоторые следы данных после отключения питания. Биты, содержащиеся в RAM, могут быть восстановлены путем определения изменений содержимого ячейки памяти. Изменением температуры чипа и подаваемого напряжения можно достичь восстановления удаленных данных. Существует множество физических методов, которые применимы для этих целей.
Оборудование для военной криптографии в США построено таким образом, чтобы уничтожать, или «обнулять», ключи в случае вторжения. Это нелегкая задача, и тому есть две причины: удалить данные непросто, а кроме того, нужно еще успеть сделать это вовремя. Были разработаны специальные датчики, сигнализировавшие о попытках проникновения внутрь оборудования. Они реагируют на изменение различных параметров: напряжения и силы тока, освещенности и температуры. Однако если нападающий знает, что представляют собой эти датчики, он в состоянии их обойти. (Он может работать при таком освещении, к длине волны которого датчик нечувствителен, или может медленно изменять температуру, чтобы обмануть его, а также использовать множество других приемов.) Опять-таки, это проблема в первую очередь государственных структур, и она очень сложна.
Одна из основных трудностей состоит в том, что устройство должно обеспечивать полную сохранность ключей в нормальных условиях и полностью удалять их, не оставляя следов, в чрезвычайных ситуациях. Если используется хорошая технология обеспечения сохранности ключей, неизбежно возникают трудности С их уничтожением. Решить сразу обе противоречащие друг другу задачи весьма непросто.
Коммерческие системы сталкиваются с этой проблемой в тех случаях, когда требуется, чтобы владелец устройства, например смарт-карты или приемника передач платного телевидения, не мог добраться до его секретов. Я уже говорил о системах сопротивления вторжению и способах их преодоления. Техника «обнуления» позволяет обезопаситься от нападений этого рода. Однако существуют способы борьбы и с «обнулением». В основном коммерческие системы не приобретают права на использование «обнуления» (мне известно только одно устройство коммерческого назначения, имеющее государственный сертификат «обнуления» FIPS 140-3), поскольку стоит это весьма дорого.
