Доение Tucows: правда вымени о обзорах криптографического программного обеспечения

Вопреки тому, что ваше восприятие может склонить вас к принятию, обзоры продуктов безопасности часто имеют мало, а во многих случаях вообще ничего общего с безопасностью. Общие критерии бета-тестирования хорошо работают для различных типов программного обеспечения, но криптографическое программное обеспечение не относится к этим типам; обязанность этой части письма информировать вас о том, какие выводы вы можете сделать из обзоров программного обеспечения, а какие нет.

"Пусть покупатель будет бдителен." «Пусть покупатель остерегается », но что, если покупатель не знает ?

Признаюсь, мой репертуар не состоит из оценки криптографического программного обеспечения, но мои знакомые, как академический практикующий криптограф, часто спрашивают: «Привет, Джастин» или JT, в зависимости от того, насколько хорошо они меня знают, «это какое-нибудь хорошее программное обеспечение для шифрования?» У них наготове возражения на тот случай, если мое мнение не укрепит их надежды на то, что это хорошо; этот ответ примерно такой: «Ну, у него было <insert_one_through_five_cows>!» Услышав это достаточно, я переключился в режим Шерлока Холмса и исследовал ситуацию, чтобы увидеть, что стоит за этой, казалось бы, святой бычьей мантрой рейтинга безопасности.

Из-за известности Tucows в Интернете в этом процессе обзора программного обеспечения было вполне естественно, что они взяли на себя роль образного подопытного кролика ради броского названия; этот мой самоуверенный анализ выходит за рамки их рейтинговой системы и касается обзоров, найденных в довольно популярных изданиях, таких как, например, журнал SC Magazine. Кроме того, это не просто проблема с программным обеспечением — я видел, что это происходит и с обзорами оборудования. В общем, проблема с этими специфическими системами оценки, основанными на критериях, заключается в их кажущемся характере; то есть, когда вы видите высокий рейтинг, вы можете сделать поспешный вывод, что он хорош в том, что он делает, хотя это по своей сути не соответствует действительности. Таким образом, эти рейтинги весьма ограничены и ненадежны в качестве альтернативы анализу безопасности. По иронии судьбы, вы обнаружите, что публикации, ориентированные на информационную безопасность, часто предоставляют рейтинги, не основанные на критериях, связанных с безопасностью. Дело не в том, что они всегда не дают полезных результатов; дело в том, что многие люди неправильно понимают эти отзывы как ваучеры на безопасность. Чтобы прояснить это, давайте представим программное обеспечение как приложение некоторого действия; другими словами, есть какое-то действие, которое мы хотим совершить, и это приложение является нашей сценой. Например, эти клавиши, которые я сейчас печатаю, сами по себе не являются актом печатания; однако именно через них я участвую в процессе печатания.

Проблемный вопрос с этими специфическими системами оценки, основанными на критериях, заключается в том, что они обычно просто сообщают нам что-то о приложении, как об интерфейсе, но ничего о внутреннем действии, которое оно призвано проявлять; это то, что происходит, когда криптографическое программное обеспечение оценивается и получает последовательно пронумерованные рейтинги. Одно дело, когда эта клавиатура выглядит стильно, работает как шарм и обеспечивает удобство кончиков пальцев, но это не имеет большого значения, если клавиатура не работает. Криптографическая реализация является одной из самых требовательных с аналитической точки зрения. С помощью критериев, по которым эти средства массовой информации оценивают криптографическое программное обеспечение, программное обеспечение оценивается по всем параметрам , кроме его криптографической безопасности. Это не должно быть таким шокирующим, как может показаться поначалу. В конце концов, если у вас нет критерия для оценки безопасности, то как вы собираетесь делать какие-либо выводы о безопасности оцениваемого программного обеспечения? Имея это в виду, чему на самом деле соответствует этот рейтинг? Ответ: шпон.

Насколько просто использовать этот шпон? Какие особенности имеет этот шпон? Насколько тщательно задокументированы характеристики шпона? Насколько оперативны и информативны те, кто поддерживает шпон? В целом, каков компромисс между тем, что я получаю, и тем, за что я плачу? Это типы вопросов, которые задают критерии, и в удачный день оценка предоставит потребителям полезную оценку, для которой нужно взвесить с долей скептицизма доступность метафорической «одежды» продукта. В некоторых сценариях, не связанных с безопасностью, этого рейтинга может быть достаточно, но применительно к безопасности он с треском проваливается, потому что вы не можете проводить бета-тестирование безопасности с этими критериями. Не поймите меня неправильно; нет ничего плохого в дружественном интерфейсе. Я придерживаюсь мнения, что полезная криптография — это прозрачная криптография, что является еще одной хорошей вещью (ТМ). С другой стороны, как потребитель безопасности, я плачу не за фасад — я плачу за безопасность. В первую очередь меня волнует то, что скрывается за внешним видом, и, осознают они это или нет, простые потребители тоже, поэтому мой им совет: «Если вы ищете решение для обеспечения безопасности, тогда безопасность должна быть тем, что вам нужно. При этом не путайте пять коров с показателями безопасности».

Надлежащая функциональность не означает надлежащую безопасность

Следует помнить важное правило: надлежащая функциональность не означает надлежащую безопасность. Криптографическое программное обеспечение может хорошо работать, но это не означает, что оно работает безопасно. Как бы вы ни оценивали его функциональность, это ничего не говорит вам о базовой безопасности. Когда вы отдаете свои с трудом заработанные банкноты, вы просто становитесь частью неизбежного компромисса безопасности. Вам нужна безопасность, а поставщику безопасности нужен ваш бизнес. Этот взаимный обмен состоит из ваших денег для их создания, и нет никаких сомнений в том, что вы хотите чувствовать, что компромисс был справедливым. Не совершайте ошибку, основывая эту ценность на ложном предположении, что безопасность — это товар, который можно измерить рейтингом; это движение. Имейте в виду, что эти критерии не только лишены каких-либо криптографических атрибутов, но и рецензенты обычно не являются криптографами. Поэтому в лучшем случае оценивают интерфейс. По определенным критериям они оценивают взаимодействие потребителя с интерфейсом. Больше ничего. Потенциально не меньше. Я видел достойные продукты с низким рейтингом и отвратительные продукты с высоким рейтингом. Это внешний вид, а не криптография. Это верно, ребята. Вы просто можете делать ставки на выставочную лошадь с большим шумихой, но с маленьким сердцем.

Когда дело доходит до безопасности, я не из тех, кто отказывается от жесткого, иконоборческого анализа ситуаций. Последствия этой ситуации опасны, потому что мы имеем дело с классическим случаем «электронной оценки» книги по ее обложке. Кроме того, когда публикации, ориентированные на безопасность, имеют такие рейтинги, это еще один подтверждающий журнал для пламенного алиби: «Ну, такой-то журнал дал ему отличную оценку, так что это должно быть хорошо!» Как потребители, мы делегируем. Возможно, где-то есть кто-то, кто знает обо всем достаточно, чтобы принимать решения самостоятельно, не консультируясь и не полагаясь на какой-либо другой источник, но до тех пор я довольствуюсь мнением, что мы все доверяем какую-то безопасность какому-то другому источнику.. Представьте, если бы безопасность автомобиля оценивалась исключительно по внешнему виду автомобиля, внутренним особенностям и декору или общей функциональности (т. е. дверь открывается и машина заводится, значит, это безопасно)? Это так же фарсово, как звучит. Большинство из нас полагаются на автомобильных экспертов, чтобы определить безопасность транспортных средств; это относится и к другим отраслям, таким как фармацевтика, архитектура и так далее.

Мы не надеемся, что большинство из нас будет полагаться на общий маркетинговый обзор в «Автомобиле и водителе», чтобы вывести такие результаты по безопасности. Учитывая, что большинство людей, очевидно, согласны с этой философией, зачем нам делать выводы о безопасности из общего маркетингового обзора в SC Magazine или Tucows ? Однако дилетанты по безопасности обращаются к таким ресурсам, поэтому крайне важно проводить различие между анализом безопасности и общим маркетинговым обзором. Неряшливость ситуации в том, что оба обзора могут давать совершенно разные результаты. Помните мой комментарий о том, что полезная криптография — это прозрачная криптография? Потребители не знакомы с криптографией, но знают удобство использования, и их субъективные решения будут в значительной степени основываться на личном удобстве. Почему? Они уже делегировали аспект безопасности своего решения экспертному ресурсу безопасности; они могут самостоятельно позаботиться об удобстве использования. Это открытое приглашение для небезопасных продуктов, покрытых слоем шоколада «укажи и щелкни». Это похоже на пенополистироловый замок, тонко покрытый алюминием. Издалека это может показаться пугающим, но попрощайтесь со своим замком, если в прогнозе ожидается Hurricane Adversary; в сфере безопасности прогноз может быть столь же неопределенным, как и в метеорологии.

Криптографическое образование, бесполезность обзоров без защиты и заключительные замечания

На протяжении всей истории компьютерной безопасности факты свидетельствовали о том, что это эзотерический предмет и процесс, в котором многие ошибаются, а правы, условно говоря, лишь немногие. Существует монументальное непонимание этого, и я не сомневаюсь, что образование является долгосрочным, но подходящим способом решения этой проблемы. Сообщество безопасности обращает внимание на эти неверно истолкованные ресурсы исключительно из соображений ответственности. Это подводит меня к моему заключительному замечанию, которое должно быть ясной аксиомой. Общие обзоры продуктов для обеспечения безопасности — в частности, криптографических продуктов, в случае с этой статьей — бесполезны для выводов потребителей о безопасности; в лучшем случае они являются оценкой интерфейса продукта и ожидаемого потребительского опыта. Результаты этих обзоров не зависят от фактической безопасности криптографического продукта; другими словами, безопасность или ненадежность продукта не влияет на присваиваемую оценку. Постойте, разве это не то, что мы ищем в первую очередь ? Я знаю, что это риторический вопрос, но это важный вопрос.

Это небрежное затруднительное положение для потребителей, потому что эти вводящие в заблуждение обзоры часто можно найти в тех же самых публикациях по безопасности, которым они доверяют. Предположение потребителей о том, что «конечно, только хорошие продукты для обеспечения безопасности достойны того, чтобы их писали на страницах уважаемого журнала по безопасности», может снизить эффективность полезных советов, таких как тот, который можно найти в часто задаваемых вопросах Мэтта Кертина, посвященных змеиному маслу, или манера осведомителя в отчетах Брюса Шнайера «Собачья конура». У вас есть дизайнеры продуктов с добрыми намерениями, лишенные криптографического чутья; затем у вас есть самополирующиеся яблочные «потребители» (простите за сумку), которые шлепают по фанере так густо, что вы думаете, что они дают вам NSA, сжатую и упакованную в целлофан. Хуже того, обычному Джо Макпараноику может быть довольно сложно отличить хорошее от плохого, когда все это плавает в тандеме в Эверглейдс коммерческих криптографических продуктов. В плохой день оба часто выглядят одинаково.

Есть еще одна статья на тему «полезной криптографии», которую я хотел бы представить. Мне не терпится продолжить обсуждение важности образования в области криптографии и проанализировать, как большое количество коммерческих криптографических продуктов и систем разрабатываются без криптографов; нанять его может быть дорого, поэтому в тех случаях, когда это неправдоподобно, обучение ответственных может означать разницу между безопасным и небезопасным. Я также представлю некоторые рекомендации для инженеров о том, как подойти к проектированию криптографической инфраструктуры, от концептуализации до запуска. Пока это просто две мои коровы — я имею в виду... два цента. Moo re на этом, в следующий раз. Извините, но с другой стороны, было бы обидно пропустить хороший, пусть и дешевый каламбур.