Вернер Кох: «Сейчас у меня есть хорошая стабильная программа, готовая к бета-тестированию»
Немецкий программист Вернер Кох опубликовал в Internet бета-версию своей свободно распространяемой программы шифрования, которая, по его собственным словам, станет альтернативой широко распространенной системе PGP (Pretty Good Privacy).

Новая программа, получившая название GnuPG (GnuPrivacyGuard), работает на всех Unix-платформах и реализует средства 128-разрядного шифрования, то есть столь же надежные, как и PGP. Более того, GnuPG совместима с PGP 5.0 и 6.0, то есть она способна передавать и получать сообщения, закодированные с помощью последней.

По словам Эрика Мочела, редактора Internet-бюллетеня Quintessenz, который протестировал это программное обеспечение, помимо большей надежности GnuPG имеет еще одно преимущество перед PGP - это продукт, распространяемый абсолютно свободный. Это означает, что GnuPG не рискует попасть под ограничения, вводимые национальными правительствами на экспорт программного обеспечения шифрования.

В декабре в Вене 33 государства подписали так называемое Соглашение Вассеанара (Wassenaar Arrangement), определяющее правила контроля за экспортом программ безопасности. Хотя, как предполагается, эти ограничения не коснутся программ для так называемого «массового рынка», ПО, отнесенное к этой категории, по мнению Мочела, предлагает не очень надежную защиту. «Этот код может быть вскрыт всего за несколько миллисекунд», - считает он.

Не ясно, попадает ли PGP в категорию общедоступного программного обеспечения. Кох подчеркивает, что в настоящее время права на PGP принадлежат компании Network Associates, которая и занимается его коммерческим распространением. Правда, существует и свободно распространяемая версия PGP 5.0, не предназначенная для коммерческого использования.

Еще одно преимущество GnuPG в том, что программа была создана за пределами США, то есть она не подпадает под действие экспортных ограничений, установленных американским правительством и предусматривающих получение особого разрешения на вывоз программ, обеспечивающих шифрование с большой длиной ключа.

Первые версии GnuPG Кох выпустил в декабре 1997 года, и с того момента они были существенно усовершенствованы. Теперь, по его словам, у него есть «хорошая, стабильная программа», готовая к бета-тестированию. В ближайшие несколько месяцев Кох планирует выпустить версию 1.0, после чего, как он считает, для внесения изменений в программу будет достаточно незначительных заплаток.

GnuPG использует симметричный 128-разрядный ключ, а также 1024-разрядный асимметричный алгоритм, который выполняет кодирование и декодирование сообщения и позволяет ставить электронную подпись под документами.

Как считает Мочел, в своем нынешнем виде GnuPG вызовет интерес в основном у разработчиков ПО. «Программа не имеет графического пользовательского интерфейса. В ней отсутствуют дополнительные возможности, реализованные в программах на базе PGP, работающих под Windows, такие как сервер ключей, который, в частности, позволяет выполнять поиск имен пользователей, имеющих открытый ключ», - подчеркнул он. Кох пообещал, что данная возможность будет добавлена в версию 1.0.

Он также заявил, что GnuPG можно легко адаптировать к ОС Windows, однако «заниматься этим бесплатно не собирается, поскольку не настолько заинтересован в Windows».

Пакет GnuPG уже используется в коммерческих продуктах, и в первую очередь его предпочитают фирмы, специализирующиеся на создании программ для платформы Unix. Данное ПО имеет ряд преимуществ по сравнению с PGP, поскольку оно лучше работает с Unix-программами и требует меньше памяти.

Самодеятельный разработчик программного обеспечения, Кох создал GnuPG в свободное время. «Мне хотелось заняться чем-то увлекательным», - объяснил он. Его вдохновил проект GNU (GNU's Not Unix) - международная инициатива по созданию свободно распространяемой Unix-подобной операционной системы и соответствующих приложений.

Ее приверженцы настаивают на том, что благодаря публикации исходных текстов программ для открытого использования контроль правильности исходных текстов осуществляется в массовом порядке, благодаря чему ошибки в ПО быстро обнаруживаются и исправляются пользователями.

Более подробную информацию о GnuPG можно найти в Web по адресу www.gnuPG.org/.


DES взломан за 22 часа

Элинор Милз


Джон Гилмор (EFF): «При проектировании систем защиты нужно слушать криптографов, а не политиков»
На конференции RSA Data Security Conference представители ассоциации Electronic Frontier Foundation (EFF) сообщили, что группе пользователей, которую поддерживала сама EFF, удалось взломать используемый американскими правительственными учреждениями алгоритм шифрования Data Encryption Standard (DES) за рекордное короткое время - 22 часа 15 минут.

Предыдущий рекорд, установленный в июле прошлого года в рамках организованной RSA акции DES Challenge, также при поддержке EFF, составлял 56 часов.

В последнем «испытании» принимали участие члены Distributed.Net - всемирной коалиции пользователей-энтузиастов, предпринявших совместную атаку на алгоритм. В качестве «орудия взлома» использовались принадлежащий EFF суперкомпьютер Deep Crack и разбросанные по всему миру почти 100 тыс. ПК, связанных между собой через Internet. Закодированное при помощи алгоритма DES секретное сообщение подбиралось путем прямого перебора; каждую секунду проверялось по 245 млрд. ключей.

56-разрядный алгоритм DES, впервые использованный правительством в 1977 году, представляет собой самую надежную систему шифрования, которую правительство разрешает экспортировать, исходя из соображений национальной безопасности. Однако защитники прав личности и производители программного обеспечения настаивают на свободном экспорте систем шифрования, использующих ключи любой длины или, по крайней мере, 128 разрядов. Надежность таких систем намного выше, особенно учитывая факт очередного взлома DES.

Как считает Пол Кочер, президент компании Cryptography Research, создавшей программное обеспечение, использованное при взломе DES, преступники в отличие от добропорядочных предпринимателей свою информацию такими средствами не шифруют.

«Ключа длиной в 56 разрядов недостаточно. Алгоритмы с ключами длиной 64 разряда также вскоре будут взломаны, - убежден Кочер. - Нам действительно следует обратить внимание на Triple DES, 128-разрядный алгоритм RC4 и иные алгоритмы тех типов, которые сейчас правительство США нам использовать не разрешает».

«Ситуацию необходимо менять. Самое сложное сейчас - понять, как перейти от DES, встроенного в огромное количество систем, к более надежным алгоритмам, - считает Берт Калиски, старший научный сотрудник лаборатории RSA Labs. - Мы можем количественно определить, во что обойдется взлом DES. Вопрос в том, что делать дальше».

«Самый важный урок, который следует извлечь из всего этого, заключается в том, что при проектировании систем защиты нужно слушать криптографов, а не политиков», - заявил Джон Гилмор, один из основателей EFF.

В то время как Национальный институт стандартов и технологий, учитывая, что DES был взломан, рекомендовал коммерческим пользователям перейти на Triple DES, комиссия по экспорту предложила в декабре новые правила, расширяющие возможности экспорта систем шифрования с 56-разрядным ключом.

«Это продуманная попытка поощрять дальнейшее использование DES, несмотря на то, что его ненадежность доказана на практике», - отметил Гилмор.

Джим Бидзос, президент компании RSA Data Security, считает, что такое положение дел на руку неамериканским производителям, имеющим возможность продавать по всему миру надежные системы шифрования. К примеру, правительство Индии недавно опубликовало сообщение, в котором предупреждает о ненадежности систем шифрования, экспортированных из США.

Впрочем, кое-кто из экспертов по криптографии отнесся к известию об очередном взломе DES со скепсисом.

«В этой новости нет ничего нового, - заметил Брюс Шнайер, президент Counterpane Systems, консалтинговой фирмы по вопросам компьютерной безопасности. - Правительство отрицало возможность взлома DES. Теперь же это проделала группа правозащитников, воспользовавшись неповоротливой технологией, примитивными инженерными решениями и располагая минимальным бюджетом».

RSA выплатит EFF и Distributed.Net вознаграждение в размере 10 тыс. долл. Первая из серии акций DES Challenge состоялась в январе 1997 года. Тогда на то, чтобы взломать код, потребовалось 96 дней. В феврале 1998 года вновь в рамках DES Challenge первой за 41 день взломать алгоритм удалось Distributed.Net.