Бесплатно Экспресс-аудит сайта:

07.05.2014

11 причин, почему шифрование (почти) мертво

Журнал ComputerWorld опубликовал статью, в которой обобщает все существующие проблемы публичной криптографии. Их накопилось так много, что можно сделать неутешительный вывод: надежно зашифровать информацию с помощью современных технологий практически невозможно. Быстрый рост вычислительной мощности, аппаратные бэкдоры и программные закладки сводят на нет надёжность математических алгоритмов, да и надёжность этих самых алгоритмов иногда ставится под сомнение.

Итак, 11 причин, почему шифрование (почти) мертво.

1. Нет доказательств — только гонка вооружений алгоритмов. Математики заняты разработкой новых алгоритмов, а их проверка занимает долгое время. Например, правда ли то, что факторизация больших чисел является ресурсоёмкой задачей? До сих пор никто не нашёл эффективного метода факторизации, но его могут найти в ближайшем времени.

2. Все полагаются на публичное рассекречивание метода «взлома» алгоритма, в то время как злоумышленник вполне может держать его в секрете.

3. Каждая система безопасности состоит из множества звеньев, и рядом с «идеальными» частями всегда найдётся слабое звено.

4. Облачные технологии и ботнеты могут существенно ускорить брутфорс.

5. Видеокарты обладают всё большей вычислительной мощью и позволяют осуществлять вычисления параллельными потоками.

6. Даже при использовании свободного ПО, где каждая строка проверена, есть риск существования бэкдора в BIOS или гипервизоре.

7. Аппаратные бэкдоры могут присутствовать в микросхемах, есть описание технологии их внедрения на этапе производства.

8. В каждой программе существуют ошибки, и кто-то может их эксплуатировать.

9. Все алгоритмы полагаются на генераторы случайных чисел, так что ключ, сгенерированный самым надёжным алгоритмом, может быть скомпрометирован плохим ГСЧ.

10. Опечатки в программном коде иногда приводят к плачевным последствия, как известно по истории с ошибкой “goto fail” в iOS и OS X.

11. Сертификаты можно подделать. Атаки MiTM проще, чем кажутся. Существуют сотни центров сертификации, которые готовы выдать сертификаты кому угодно на что угодно.