Фил Циммерман о будущем криптографии, и не только
Фил Циммерман: «Если бы Network Associates нас не приобрела, мы бы прогорели, потому что у нас не было денег» |
Когда я езжу с лекциями или семинарами по разным странам, то обычно говорю об опасности, которую представляют средства прослушивания. Они могут дать правительству слишком большую власть над гражданами. Приехав в Россию, я понял, что многие такого рода проблемы для вашей страны неактуальны. Скорее наоборот: правительство недостаточно сильно, оно практически не контролирует ситуацию. Когда я говорю здесь то, о чем говорю всегда, я не чувствую уверенности, что соответствую ситуации. Похоже, что аудиторию волнуют совсем другие проблемы, более серьезные.
Средства контроля не так сильны, но и объем информации, которую нужно контролировать, также не так велик...
Да. Защищаться шифрованием нужно, но особенность России в том, что защищаться надо, может быть, не столько от правительства, сколько от организованной преступности. Бизнесменам я бы посоветовал отнестись к шифрованию очень серьезно.
Что вы думаете о СОРМ 2?По которому провайдер обязан предоставить канал к ФСБ для возможности контроля всего трафика? Я думаю, что это плохо, даже в той ситуации, которая сейчас сложилась из-за террористических актов.
Известны ли вам случаи, когда террористы использовали PGP для своих целей?
Террористы — нет. Мне, во всяком случае, такие случаи неизвестны. А преступные группы — да. Я читал, что итальянская мафия использовала PGP. Но то, что они, скажем, пользовались «мерседесами», не значит, что надо запретить производство «мерседесов».
Вы слышали, чтобы в какой-то стране, кроме России, ввели меры, подобные СОРМ 2?
О введении обязательного канала для полиции — нет. А вообще, американские спецслужбы хотят прослушивать Internet по всему миру, в том числе и в России. Зачем им специальный канал от провайдеров? Они и так все слушают. У них потрясающие возможности прослушивания. Хотя некоторые технологии им, конечно, плохо поддаются. Попробуй прослушай волоконную оптику.
Есть ли шпиономания в США?Есть темная страница в истории Соединенных Штатов — это начало 50-х, времена Маккарти. Сейчас, конечно, этого нет.
Чувствуете ли вы какое-нибудь давление со стороны ЦРУ или ФБР?Нет. Было довольно сильное давление в 80-х годах со стороны Агентства национальной безопасности (NSA), они пытались воспрепятствовать появлению в печати материалов по алгоритму RSA. Теперь ничего этого нет. Люди из NSA посещают посвященную перспективному алгоритму шифрования Advanced Encription Standard конференцию в Италии просто как одна из групп разработчиков. Они не могут ни на что повлиять.
В США нет никаких законов, ограничивающих шифрование, запрещен только экспорт сильных средств криптографии. Этот запрет задерживает развитие технологий шифрования и внутри страны тоже, потому что производители неохотно разрабатывают программы, которые не смогут продать нигде, кроме США.
ФБР до сих пор пытается препятствовать распространению шифрования даже внутри США. Именно из-за них все еще запрещен экспорт средств шифрования, что довольно странно — ведь они обязаны заниматься внутренними проблемами.
Благодаря запрету на экспорт компании, расположенные вне США, например Trustworks, имеют возможность продавать шифровальное ПО для всего мира, не испытывая рыночного давления со стороны американских производителей. Много ли в мире компаний, подобных Trustworks?
В Европе есть компании, которые способны продавать сильные средства шифрования, но их не так уж много, потому что это требует высокой квалификации и опыта в данной области. Многие программисты думают, что могут производить сильные средства, но они просто не видят всех проблем — это намного сложней, чем кажется. По поводу людей из Trustworks я могу сказать следующее: когда они работали для Sun Microsystems над SKIP, я консультировал Sun, поэтому я знаком с их работами и могу сказать, что это качественные продукты. Они настолько хороши, что правительство США предприняло все усилия, чтобы их остановить. Это верный признак: раз правительство пытается остановить какую-либо работу, значит, получены действительно хорошие результаты.
Почему мы должны доверять PGP?Мы публикуем код PGP, а это дает, в общем, гарантию того, что в программе нет «потайной двери». Коды опубликованы давно, и их исследовало такое количество народу, что если бы что-то такое было, об этом давно стало известно и поднялся бы большой скандал.
А PGP-сообщество «баги» еще не все выловило?О-о, у нас еще много «багов». Но, конечно, не в самих алгоритмах шифрования, которые могли бы ослабить защиту. Это обычные «баги» — в графическом пользовательском интерфейсе, скажем, и т. п. За безопасностью мы следим очень тщательно. Вообще, в PGP к шифрованию относится совсем маленькая часть кода. Остальное — пользовательский интерфейс.
Потребность в криптографии растет?Да, конечно. Это связано с электронной коммерцией, которая требует шифрования информации. В браузеры и Web-серверы встраивается функциональность SSL, но обычно это слабые криптографические средства. Сейчас положение будет меняется, потому что развивается безопасный вариант IP: появился стандарт, который называется IPSec. Производители программного обеспечения начали создавать продукты, использующие его. Например, у нас в Network Associates есть средство создания виртуальных частных сетей, которое называется PGP Net. Здесь должно произойти накопление критической массы. Все больше народу будет использовать IPSec, и в какой-то момент станет понятно, что сеть Internet в основном уже непрозрачна для прослушивания. Но главное то, что сейчас гораздо больше людей понимает необходимость шифрования, чем, скажем, три года назад.
В свое время NSA монополизировало криптографические исследования, и это сильно затормозило отрасль, задержало, может быть, лет на десять появление технологий. Фактически массовые публикации материалов по шифрованию начали появляться после классической статьи Диффи и Хеллмана об открытых ключах. Сейчас специалисты из академических кругов не уступают в квалификации специалистам из NSA. Например, появился проект создания Advanced Encription Standard, который может заменить DES. Они объявили, что будут принимать предложения от любых групп разработчиков. Поступило более 15 предложений. Большинство из них не из США. Сейчас отобрано пять лучших, из которых предстоит выбрать одно. Это очень открытый процесс, разработки обсуждаются на международных семинарах. Только так это и должно происходить — чтобы люди доверяли этим технологиям.
Не пытались ли вы встроить средства, которые маскировали бы использование PGP?
Скрыть само зашифрованное сообщение — непростая техническая задача. Можно использовать стеганографию — прятать зашифрованое послание в фотографии или аудиофрагменте. Это выглядит как небольшое зашумление. Но этим нельзя пользоваться долго и широко. Сообщение должно быть в определенной части фотографии, иначе его трудно расшифровывать. Говорили даже о стандарте стеганографии, но это абсурд: это равнозначно объявлению, что на дне каждого чемодане должно быть специальное отделение для провоза героина!
Изменилось ли направление вашей деятельности после того, как Network Associates приобрела вашу компанию PGP?
Нет. Мы работаем достаточно автономно и продолжаем разрабатывать PGP. Они никак не пытаются влиять на нашу деятельность.
Network Associates получила возможность использовать ваши навыки и ваши технологии в своих продуктах, не правда ли?
Да. Но в компании есть и другие специалисты по криптографии. Например, в ее распоряжении теперь есть межсетевой экран Gauntlet, который появился после приобретения компании Trusted Information Systems. У них есть свои криптографы. Мы часто общаемся с ними, но они работают над своим продуктом, а мы — над своим. Были случаи, когда Network Associates приобретала продукты со встроенными средствами шифрования, мы исследовали их, находили недостатки и рекомендовали внести определенные изменения.
Что бы вы делали, если бы Network Associates не приобрела PGP?Если бы она нас не приобрела, мы бы прогорели, потому что у нас не было денег.
Как же такое произошло? Куда ж они делись?Тратили слишком много, вот они и кончились. Мы слишком много вкладывали в маркетинг. Я был председателем совета директоров, но не знал, как работать на месте исполнительного директора. Поэтому мы его наняли. До этого он работал в большой компании и поэтому тратил деньги в том же стиле, что и в больших компаниях. Я думаю, что на маркетинг не надо было тратить много денег, нас и так хорошо знали.
Благодаря скандалу вокруг вашего имени?Во времена расследования я давал по пять интервью в неделю. Благодаря этому я и не попал в тюрьму. Думаю, что сочувствие прессы было главной причиной того, что мое дело закрыли, хотя они, конечно, в этом никогда не признаются.
Еще, наверно, потому, что заключение вас в тюрьму не остановило бы распространения средств шифрования...
Да. И еще потому, что за моей спиной была вся компьютерная индустрия, которую затормозило бы запрещение шифрования.
А что изменилось, кроме денег в кармане, после того как вы вошли в Network Associates?
Они проделали очень большую работу по организации техподдержки, и особенно, Web-узла PGP. Он был в ужасном состоянии. И, конечно, они продают PGP лучше, чем продавали мы.
Кто вы — программист, бизнесмен, политический деятель?Бизнесмен вряд ли.
Вы часто ездите с лекциями?Да, я активист движения за права человека на частную жизнь, я много встречаюсь с людьми. Кстати, очень многие правозащитные организации пользуются PGP, в этом я тоже вижу смысл моей деятельности. У нас всегда есть бесплатные версии, и мы публикуем доступный всем исходный код.
Люди, которые работают со мной над PGP в Network Associates, в основном пришли из нашей компании. Они все — приверженцы идеи права на неприкосновенность частной жизни.
А как относятся к вашей деятельности в Network Associates?Конечно, многим хотелось бы, чтобы мы направили все силы на продажу программ. Нас иногда называют «монтанские освободители» — была такая группка анархистов в Монтане, о ней много писали в свое время. Мы, конечно, не анархисты, но наших ребят больше интересует долг перед обществом, чем деньги.
Безопасность в общем и в деталях |
21 сентября прошла конференция «Защита деловой и личной информации», организованная компаниями «Элвис+», Sun Microsystems и издательством «Открытые Системы» при технической поддержке «Полимедиа». Открывший конференцию президент издательства «Открытые системы» Михаил Борисов подчеркнул, что Internet открывает новые возможности для бизнеса и совершенно меняет понятие об обществе, государстве и социальных отношениях. Вместе с тем возникают и новые проблемы; одна из них — информационная безопасность. Осознавая необходимость публичного обсуждения этих проблем, «Открытые системы» поддержали идею проведения подобного мероприятия. Выступающие обсуждали, как в современных условиях оставаться открытым и закрытым одновременно, каким должно быть законодательство в области защиты информации, как защитить право на частную информацию и частную жизнь. Александр Галицкий, глава зеленоградской «Элвис+» и одновременно исполнительный директор голландской компании Trustworks, в своем выступлении говорил об основных тенденциях развития рынка продуктов информационной безопасности, о важности решения проблем совместимости продуктов различных производителей, о новых инициативах своей компании в этой области. Совместимость — ключевое понятие в концепции Trustworks. Алгоритмы шифрования выбирает в соответствии с местными условиями и личными пристрастиями сам пользователь, задача же Trustworks — предоставить безопасную коммуникационную среду, в которую сторонние производители смогут встраивать свои криптографические программы. Галицкий отметил исключительную важность для российской аудитории непосредственного контакта с создателями современных информационных технологий. На эту конференцию «Элвис+» пригласила знаменитого Филипа Циммермана, автора программы шифрования электронной почты PGP и известного общественного деятеля. Опыт российских разработчиков по созданию, продвижению и легализации продуктов шифрования данных был представлен в докладе Анатолий Лебедева, президента компании «ЛАН Крипто». На конференции также выступил Сергей Вихарев, начальник отдела Гостехкомиссии Российской Федерации. Представители Sun, поделившись своим видением безопасности офиса будущего, продемонстрировали публике новый безопасный терминал Sun Ray 1. Особенность этого бездискового устройства в том, что на самом терминале не содержится ни бита личной информации. Она хранится на сервере, а данные необходимые для идентификации, содержатся на смарт-карте. За круглым столом обсуждались многие общие, в том числе и моральные вопросы защиты информации. Почти одновременно с конференцией в печати появились сообщения об отмене ограничений на экспорт сильных средств шифрования. Речь идет о заявлении американского правительства. У Циммермана этот документ не вызвал особого энтузиазма. Впрочем, реальные изменения могут произойти только в декабре, когда станут известны детали. А детали в криптографии определяют все. Да и не только в криптографии. — Игорь Левшин,Computerworld Россия |