БЕЗОПАСНОСТЬ : При помощи палки и веревки
Автор: Киви Берд
Компания Dell начала выпуск так называемых самошифрующих (self-encrypting) компьютеров. Все данные на их жестких дисках защищены встроенными аппаратными криптосредствами. Для этого ноутбуки линеек Latitude и Precision, а также десктопы OptiPlex 960 оснащают винчестерами Seagate Momentus, в которых реализована соответствующая технология. По заверениям Seagate, в таких хардах используется криптография "правительственного уровня стойкости" на основе стандартного алгоритма AES со 128-битным ключом. Причем особо отмечается, что поскольку криптоключ хранится в самом устройстве и не передается в память компьютера, такой системе не страшны даже новые атаки типа "холодной загрузки", когда злоумышленники замораживают DRAM-чипы памяти и могут считывать оттуда ключи, перезагрузив компьютер и избежав таким образом контроля операционной системы (см. "КТ" #725).
Иначе говоря, на массовом рынке начинают появляться доступные системы, обеспечивающие серьезное шифрование данных на аппаратном уровне, что ранее было по карману лишь правительственным структурам и корпорациям. Аппаратная криптография особенно хороша тем, что "прозрачна" для законных пользователей и не требует от них никаких дополнительных знаний и навыков, обычно предполагаемых при использовании программных средств шифрования.
С другой стороны, всегда полезно помнить, что сколь бы замечательной и стойкой ни была криптография в новых компьютерах, абсолютной защиты она предоставить не в силах. Подавляющее большинство используемых сегодня криптосредств разработаны в предположении, что ключ известен только законному пользователю, а тот, в свою очередь, по своей воле этот ключ не раскроет, если компьютер или жесткий диск с данными попали в чужие руки. Иными словами, оценка криптографической стойкости системы строится на допущении, что ключ или пароль доступа не будут выбивать из владельца силой.
То, что допущение это является сугубо теоретическим и, мягко говоря, оторванным от реальной жизни, криптографы-практики прекрасно понимают и обычно обсуждают данную проблему в терминах стойкости к "криптоанализу резиновым шлангом" (rubber-hose cryptanalysis). Избиение резиновым шлангом ступней ног практикуется служителями закона в тех странах, где при появлении в суде на задержанном человеке не должно быть явных следов побоев. При обсуждении этой же проблемы на русскоязычных форумах, где силовое выбивание паролей чаще всего связано с бандитскими разборками, то же самое явление именуют более цинично - "терморектальный криптоанализ", или, проще говоря, паяльник, засунутый жертве в задний проход. Вспоминая, наконец, советскую классику и похождения плутоватого мудреца Ходжи Насреддина, можно употребить и еще один весьма популярный в народе термин - "с помощью веревочной петли и палки".