Глава3. Когда защиты слишком много

Один из важных вопросов, нуждающихся в рассмотрении, заключается в том, стоит ли усиливать защиту, если для этого есть хоть какая-то возможность, или может возникнуть ситуация, в которой усиление защиты пойдет не на пользу, а во вред?

До ответа на этот вопрос стоит отметить, что существуют две принципиально разных категории продуктов, использующих средства защиты информации. К первой категории относятся такие продукты, для которых обеспечение информационной безопасности — первоочередная задача. Во вторую категорию попадают прикладные продукты из любых других, явно не связанных с обеспечением безопасности областей, но по тем или иным причинам нуждающиеся в средствах защиты.

При разработке решений, относящихся к первой категории, все должно быть нацелено именно на обеспечение максимальной степени защиты, пусть даже в ущерб другим характеристикам. Такие параметры, как удобство использования и быстродействие, являются несущественными, если задача обеспечения безопасности не решена полностью и простора для компромиссов здесь нет. Ненадежное с точки зрения безопасности решение не должно использоваться, даже если оно в 10 раз удобнее и в 100 раз быстрее, чем любая доступная альтернатива.

С продуктами, относящимися ко второй категории, все обстоит иначе. Для них обеспечение безопасности не является основной задачей. Например, Microsoft Word поддерживает возможность шифрования документов, но при этом Word — текстовый редактор, а не средство для защиты файлов с помощью криптографии. Поэтому к нему предъявляются иные требования, чем к системам обеспечения безопасности.

Прежде всего, обеспечение защиты не должно создавать значительных неудобств. Если на дверь квартиры установить 12 замков, злоумышленнику, наверное, будет труднее проникнуть внутрь. Однако человеку, живущему в этой квартире, придется слишком много времени тратить на отпирание и запирание всех замков, что с большой вероятностью приведет к недовольству существующим положением вещей.

Кроме того, в процессе эксплуатации изделия могут случаться непредвиденные или незапланированные сбои. Любой замок в какой-то момент может перестать работать. Причины могут быть совершенно разные: заводской брак, отсутствие смазки или ржавчина, сточившийся или погнутый ключ и даже просто проходящий мимо школьник, ради развлечения засунувший спичку в механизм замка. Но результат будет один — замок не удастся отпереть, и человек не сможет попасть в свою квартиру, хотя имеет на это полное право и даже не терял ключи. Интуитивно понятно, что чем больше замков (или уровней защиты) используется, тем больше вероятность отказа хотя бы одного из них. Но отказа любого элемента системы достаточно, чтобы вся система перестала функционировать.

Еще один аспект — эффект "слабого звена". Общая степень защищенности системы определяется уровнем безопасности, который обеспечивает самый слабый узел защиты. Можно устанавливать сколько угодно дополнительных замков в деревянную дверь, но степень защиты все равно будет определяться прочностью двери — самого слабого элемента.

Замки всего лишь пример из реального мира. Но пространство информационных технологий подчиняется тем же самым принципам, и найти схожие примеры совсем несложно.

3.1. Неудобства для пользователя

Один из распространенных способов защиты программ от несанкционированного копирования (тиражирования) связан с использованием регистрационного кода, который пользователь должен ввести в окне регистрации для получения работоспособной версии программы. Регистрационный код, как правило, вычисляется автором (владельцем прав) или распространителем (продавцом) программного продукта на основании предоставленной пользователем информации (например, его имени и названия компании, в которой он работает). Процедура вычисления может быть основана на некотором секретном алгоритме, разработанном автором, или на криптографии с открытым ключом. В обоих случаях в программе должен присутствовать обратный алгоритм, позволяющий проверить правильность регистрационного кода. Но в случае применения криптографии с открытым ключом, зная алгоритм проверки, математически сложно полностью воссоздать алгоритм вычисления регистрационного кода. А при использовании секретного алгоритма чаще всего обращение алгоритма проверки после его извлечения из программы не является математически сложной задачей.

Для обеспечения заданного уровня стойкости необходимо использовать ключи не короче определенной длины. Но использование длинных ключей может создавать неудобства пользователю.

Длинные регистрационные ключи
В случае применения криптографии с открытым ключом существует минимальный размер блока, который получается в результате вычисления значения криптографической функции. Для алгоритма RSA-1024 (с ключом длиной 1024 бита) размер зашифрованного блока составляет также 1024 бита или 128 байт. Так как с клавиатуры, в общем случае, можно ввести не всевозможные символы, то двоичные данные, полученные в результате шифрования, преобразуют в текст, например с помощью алгоритма MIME64. При этом каждые 6 входных бит преобразуются в 8, т. е. размер блока данных увеличивается на одну треть и превращается из 128 в 171 символ. Даже если максимально использовать все 95 символов ASCII, вводимых со стандартной клавиатуры, произвольное двоичное сообщение длиной 128 байт удастся закодировать только в 156 символов.
Таким образом, пользователь, не имеющий доступа к Интернету, может оказаться перед необходимостью ввести с клавиатуры присланную ему по факсу или бумажной почтой строку длиной более 150 символов. Более того, строка будет состоять не из простых для восприятия слов, а из бессмысленной смеси всевозможных печатных знаков, в которых очень легко ошибиться. А если пользователь, находящийся вдали от факсимильного аппарата, захочет, чтобы ему продиктовали его регистрационный код по телефону? Вряд ли человек, прошедший через подобную процедуру, порекомендует кому-нибудь из своих друзей приобрести лицензию на такую программу.