Четыре маркетинговых мифа о современных околокриптографических технологиях
За новыми модными названиями, которые СМИ преподносят нам в качестве современных изобретений, на самом деле стоят давно известные технологии. Кто и зачем вводит нас в заблуждение и продвигает старые термины под новым “соусом”? Об этом рассказывает Александр Павлович Баранов.
Искусственный интеллект
Нейронная сеть, блокчейн, квантовая криптография, искусственный интеллект – технологии, которые порождают иллюзии. Надежды, рожденные в умах обывателей, являются ни чем иным, как маркетинговым ходом, потому что за каждым из этих понятий стоит давно известная задача, которая решалась, решается и планомерно развивается, как любые другие технологии. Ничего принципиально нового нет ни в одном из этих четырех изобретений, но подаются они так, будто это достижение XXI века, а ведь на самом деле в XXI веке было изобретено достаточно мало совершенно новых вещей, по крайней мере в области защиты информации.
Искусственный интеллект (ИИ) – это не что иное, как экспертная система, которая была известна с прошлого века. Такие системы делали уже в 1985–1986 гг. на компьютерах того времени, и они успешно решали определенные классы технических задач.
Искусственный интеллект не может создать что-то принципиально новое или сгенерировать неизвестную идею. Это давно установленный факт. ИИ или, точнее, экспертная система – это всего лишь агрегация общего опыта и возможность доведения его до непрофессионалов в том числе в области ИБ. В этом смысле ИИ полезен, но у него есть и ряд проблем. По некоторым из них достигнуты определенные положительные результаты. Например, обработка неструктурированных данных или формализация знаний специалистов различных областей. Естественно, техника развивается и экспертные системы стали применяться шире. Но это не дает никаких надежд на то, что искусственный интеллект сможет решить проблему нашего развития и, тем более, заменит настоящий интеллект, на что многие искренне надеются. ИИ не сможет решить задачу логарифмирования в конечном поле, кроме как реализовав известный и разработанный ранее человеком алгоритм.
Блокчейн
Что такое блокчейн? Это давно известная система распределенного хранения информации. Однако раньше, вместо электронной подписи использовали другой вид подтверждения целостности блока данных – контрольную сумму (КС).
Интересно, что Закон № 63 об электронной подписи не считает КС даже простой подписью, поскольку сосредоточен на решении проблемы подтверждения авторства или принадлежности данных. В блокчейне же авторство сведено к цифровой самостоятельной эфемерной виртуальности–набору цифр–закрытому ключу, без удостоверяющего центра. С философской точки зрения тогда от усиленной электронной подписи остается только подтверждение целостности, а с этой задачей успешно справляется КС. Тем не менее, нам внушают, что электронная подпись (особенно квалифицированная) – это новый уровень и новый этап защиты информации.
С одной стороны, определенная новизна и прикладные возможности возникли в середине прошлого века, когда изобрели открытый ключ и имитоприставку для систем свой–чужой. Но с другой стороны, надежность или информационная безопасность этих инструментов обеспечивается только в тех условиях, при которых выполнены все требования регуляторов, т.е. восьмого центра ФСБ, регулирующего применение электронной подписи или имитоприставки и ранжирующего ее – квалифицированная она или неквалифицированная.
На практике ни один среднестатистический пользователь, который не является компьютерным гением и специалистом по компьютерным системам, практически не может выполнить эти требования. Это связано с постоянным обновлением программного обеспечения, сменой прикладного ПО, да и базового тоже. Обыкновенный же человек может пользоваться свободно квалифицированной подписью только в том случае, если она установлена на отдельный гаджет, который сам подписывает и ничего более того не делает. Но тогда какое это имеет отношение к блокчейну?
Такие условия делают блокчейн ненадежным. Становится очевидно, что одной криптографии уже недостаточно для защиты информации. Но нам пытаются внушить, что мы будем применять блокчейн для хранения государственной тайны или хранения такой чувствительной и важной информации, как кадастровая.
Массовая криптография принципиально отличается от криптографии узкого применения, в которой можно соблюсти условия применения криптосредств для обеспечения безопасности. То есть можно сохранить ключ и в линию связи не отправить открытый текст, тогда и только тогда, если в вашей компьютерной системе выполнены определенные условия. А они довольно жесткие и сложные. В массовом сегменте, в котором больше 100 тыс. участников и который не обслуживается и не контролируется, это невозможно. В этом смысле квалифицированная подпись в массовом сегменте становится неквалифицированной.
Приведу пример проекта, связанный с кадастровой информацией. В нем шла речь о создании и применении технологии блокчейн для хранения записей о недвижимости и предоставлении информации об этих записях через Интернет, при этом были бы скрыты персональные данные владельца этой недвижимости. Таким образом человек мог узнать, числится за ним недвижимость или нет. К блокчейну проект имел весьма опосредованное отношение, потому что ряд ведомств фактически собирались просто подписывать информацию, которую предоставляла бы одна, выделенная организация. Задача состояла в том, чтобы сотрудники этой организации не могли бы самостоятельно менять данные. Но фактически это была иллюзия безопасности, так как документы подписывались бы автоматически и никто не собирался проверять информацию: налоговая не проверяла бы платежи, а Сбербанк не проверял бы перечисление денег. Проект умер. Но при подписи ограниченным числом лиц легко сохранить надежность криптографической подписи, потому что средства контролируются и все соответствует требованиям регулятора для квалифицированной подписи.
А что делать, когда у вас миллион подписантов и у каждого стоят разные версии программ, и даже неизвестно, сертифицированных или нет? Главное, что все работает. В таком случае говорить о том, что массовый пользователь будет владеть юридически значимым инструментом – электронной подписью – это дилетантизм. Это показатель того, что те, кто это проповедует, не понимают, в чем суть защиты информации. Они не понимают ограничений по применению тех или иных средств. А между тем такие ограничения всегда существуют.
Нейронная сеть
Я слышал много обывательских определений этого термина, и большинство из них совершенно абсурдны. Например, что это биотехнологии или биокибернетические технологии. На самом деле нейронная сеть – это реализация принципа цифровой линейной фильтрации, линейный фильтр, или персептрон. Он был открыт в 50-х гг. ХХ столетия. Следом за ним был изобретен адаптивный линейный фильтр, который сейчас подается как адаптивная нейронная сеть, состоящая из целой сети узлов. Затем из простого линейного фильтра сделали более сложный – многослойный фильтр (многослойная нейронная сеть).
Это просто инструмент для решения задач того же искусственного интеллекта или какого-либо другого вида технологий, имеющего очень ограниченный спектр применения, весьма специфический. Он хорошо работает для фильтрации сигналов, его успешно применяют в медицине, например, при выделении сигнала сердца плода на кардиограмме матери. Для этого линейный фильтр и был изобретен. Когда человеку снимают кардиограмму, к нему прикрепляют множество датчиков. Это и есть адаптивный фильтр, или нейронная сеть. Линейные фильтры прекрасно работают в фазированных решетках, это называлось "антенные фазированные решетки". Так почему мы стали возлагать такие большие надежды на него именно сейчас? Почему ожидается возможность решения даже криптографических задач нейронными сетями? Попробуйте решить систему линейных уравнений над конечным полем посредством нейронной сети. В 1985 г. для апробации принципа работы нейросети решалась такая задача. Получилось хуже метода Гауса.
Т.е. мифы, которые окружают линейные фильтры, можно назвать не иначе как дезинформацией, а это для информационной безопасности намного опаснее, чем непередача информации.
Кроме того, непонятно, кто проверяет, насколько эти технологии эффективны. Например, функция распознавания лиц. Если вы сделаете селфи и сравните его с паспортной фотографией, у вас получится около 20–25% совпадений, но нам преподносят это изобретение как работающее на 100%. Это введение в заблуждение потребителя, и этим грешат производители во многих сферах применения научных результатов в широких массах. Это часто происходит из-за плохой организации тестирования, во всем мире и в России, в частности. Но если в конкурентной среде недостоверная информация быстро разоблачается, то фирмы-монополисты могут позволить себе сильно преувеличить свои достижения.
Тестирование должно быть объективным, а результаты необходимо получать от реальной оценки. Например, сравнительные тестирования различных шифраторов, производимых разными фирмами, – очень сложно организуемый процесс, потому что шифраторы необходимо поставить в одинаковые условия, которые не будут предпочтительны ни для одного из них.
Квантовые вычисления и квантовая криптография
В научных результатах, которые только начинают внедряться в повседневную практику, очень легко обмануть неподготовленного потребителя и ввести его в заблуждение. Этим и пользуются недобросовестные люди, а также те, кто не может в силу скудости и несоответствия образования вникнуть в суть дела. Поэтому современные технологии продвигаются совсем не в те сферы, где они должны применяться.
Один из таких примеров – квантовые вычисления, которым уже почти 40 лет. За 40 лет так и не появилось реальной физически-материальной многокубитной (более 8 кубит) системы, потому на самом деле это пока только теоретическое построение физиков. Многокубитная система в настоящее время не более чем математическая модель неких физических процессов. Физически она реализована и работает для пяти кубитов. Говорят и обещают, что в ближайшее время их количество в физической реализации смогут увеличить до восьми. В реальных же задачах криптографии нужно физически реализовать 256 и более кубитную систему. Принципиально можно смоделировать подобную систему и на компьютере. Однако, в этом варианте решения задачи определяющим моментом будет число операций, которые нужно выполнить вычислителю. Пока для моделирования наиболее сложного n-кубитного вычисления требуется не менее чем 2 в степени n операций. Например, для решения нелинейной системы уравнений в поле из 2-х элементов.
Не так давно была новость, что IBM организовала едва ли не 50 кубитов. Откуда такая цифра? Трудоемкость решения задач, тех, которые применяются для кубитной технологии, составляет примерно 250 , если у нас 50 кубитов. Возможно, с большим коэффициентом. 250 операций сейчас можно сделать на хорошем оборудовании, что IBM и реализовала. Видимо поэтому в США и отказались 10 лет назад от применения криптоалгоритма DES, с ключом в 56 бит. То есть у них получилась электронная эмуляция модели квантовых вычислений. Однако неизвестно, как будут работать даже 10 физических кубитов, ведь их никто не наблюдал.
Мне нравится определение, данное Архиепископом Лукой, доктором медицинских наук, Валентином Феликсовичем Войно-Ясинецким. Наука есть система достигнутых знаний о наблюдаемых нами явлениях действительности. За 40 лет существования гипотезы о явлениях природы, названных системой кубитов мы не можем наблюдать действительности больше чем в восьми кубитах. Поэтому заявления о возможности решении криптографических задач на больших квантовых системах – не более чем гипотезы или малообоснованные прогнозы. Вместе с тем для ученых-физиков такая позиция выгодна, потому что позволяет привлекать средства для исследований и развития тех или иных моделей. Конечно, в эту область науки необходимо привлекать средства, но не путем порождения иллюзий. Проблема в том, что на основе этих иллюзий могут приниматься решения, в частности о замене или модификации криптосистем. Иллюзии, приводящие к значительным решениям, опасны.
Мы сейчас наблюдаем на примере электронной подписи сложности управления массовой криптографией. Идет дискуссия о возможном эффективном логарифмировании в конечных полях на основе квантового вычислителя, что порождает опасения о стойкости и надежности протокола SSL. Хорошо, что воздержались от обязательной замены криптосхемы ГОСТ. Принятие решений о введении новых требований в массовой криптографии требует учета большого количества возможных негативных факторов, которые мы уже имеем в прошлом и этом годах и которые передвигают обязательное введение изменений по электронной подписи на конец 2019 г. вместо запланированного 2018 г.
Источник: ITSec.Ru
Читайте также:
ПодписатьсяМинкомсвязь проведет пять экспериментов в рамках создания НСУД
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации с привлечением других ведомств проведет в 2019-2020 годах пять экспериментов по построению Национальной системы управления данными (НСУД).
Нижегородская область станет первым регионом России, внедрившим блокчейн-технологии в госуправление
Использование приложения, работающего на платформе Vostok, позволит жителям распределять собственные налоги между категориями бюджетных расходов.