созданных на основе выбранных пользователями парольных фраз, известно мало . Шеннон показал, что энтропия английского текста чуть больше 1 бита на символ , что, по видимому, позволяет использовать против парольных фраз грубую силу. Однако пока не вполне понятно, для этого как упоряд о-чивать парольные фразы. Пока мы не разберемся как следует, как вскрывать парольные фразы, мы не поймем, насколько они слабы или сильны.

6.Неправильное доверие. Почти все доступное криптографическое программное обеспечение предпол а-гает, что пользователь находится в непосредственном контакте с системой ли пользуется надежным способом доступа. Например, интерфейсы к программам, подобным PGP, предполагают, что их парольные фразы поступают от пользователя по надежному пути, например, с локальной консоли . Но это не всегда так, рассмотрим проблему чтения вами шифрованной почты при подключении по сети . То, что проектировщик системы считает надежным, может не соответствовать потребностям или ож и-даниям реальных пользователей , особенно когда программным обеспечением можно управлять уд а-ленно по небезопасным каналам .

7.Плохо понимаемое взаимодействие протоколов и услуг . С ростом и усложнением систем часто прои сходят странные вещи, и бывает трудно что-нибудь понять что-нибудь, даже когда произойдет какая-нибудь авария. Червь Internet распространялся с помощью туманного и с виду вполне невинного сре д-ства программы передачи почты. Сколько еще возможностей и в каком количестве программ облад а-ют неожиданными следствиями, которые только ждут своего о ткрытия?

8.Нереалистичная оценка угрозы и риска. Эксперты по безопасности стремятся сконцентрировать свои усилия на угрозах, которые известно как моделировать и предотвращать . К сожалению, взломщики выполняют вскрытия на базе собственных знаний, и две эти области редко совпадают . Слишком много "безопасных" систем было спроектировано без учета реально возможных действий взломщика .

9.Интерфейсы, которые делают безопасность дорогой и неудобной . Если нужно использовать средства обеспечения безопасности, то они должны быть удобными и достаточно прозрачными, чтобы люди действительно пользовались ими . Нетрудно спроектировать механизмы шифрования, которые раб о-тают только за счет производительности или простоты использования , и еще легче создать механизм, который провоцирует ошибки. Безопасность должно быть труднее выключить, чем включить ; к несчастью, лишь немногие системы действительно так р аботают.

10.Слишком всеобъемлющие требования к безопасности. Эта проблема хорошо известна почти всем, чье счастье связано с продажей продуктов и услуг безопасности . Пока существует широко распростране н-ное требование всеобъемлющей безопасности , средства и инфраструктура, обеспечивающие его ре а-лизацию, будут дороги и недоступны для многих приложений . Частично это проблема понимания и раскрытия угроз и опасностей в реальных приложениях, а частично проблема проектирования систем, в которых безопасность не закладывается изначально, а добавляется позже .

Более полный список и обсуждение подобных угроз может легко заполнить книгу такого же размера, при этом проблема будет лишь едва затронута. Что делает их особенно трудными и опасными, так это то, что не существует никакого магического способа избавиться от них, кроме хорошего анализа и хорошей инженерной работы. Честолюбивый криптограф должен ощущать границы искусства .

Мэтт Блейз Нью-Йорк

References

1.ABA Bank Card Standard, "Management and Use of Personal Information Numbers, " Aids

from ABA, Catalog no. 207213, American Bankers Association, 1979.

2.ABA Document 4.3, "Key Management Standard," American Bankers Association, 1980.

3.M. Abadi, J. Feigenbaum, and J. Kilian, "On Hiding Information from an Oracle," Proceedings

of the 19th ACM Symposium on the Theory of Computing, 1987, pp. 195-203.

4.M. Abadi, J. Feigenbaum, and J. Kilian, "On Hiding Information from an Oracle," Journal of

Computer and System Sciences, v.39, n.1, Aug 1989, pp.21-50.

5.M. Abadi and R. Needham, "Prudent Engineering Practice for Cryptographic Protocols,"

Research Report 125, Digital Equipment Corp Systems Research Center, Jun 1994.

6.C.M. Adams, "On Immunity Against Biham and Shamirs Differential Cryptanalysis, "

Information Processing Letters, v. 41, 14 Fob 1992, pp. 77-80.

7.C.M. Adams, "Simple and Effective Key Scheduling for Symmetric Ciphers, " Workshop on

Selected Areas in Cryptography Workshop Record, Kingston, Ontario, 5-6 May 1994, pp.129-133.

8.C.M. Adams and H. Mailer, "Security Related Comments Regarding McElieces Public-Key

Cryptosystem, " Advances in Cryptology CRYPTO 87 Proceedings, Springer-Verlag, 1988,

pp. 224-230.

9.C.M. Adams and S.E. Tavares, "The Structured Design of Cryptographically Good SBoxes,"

journal of Cryptology v. 3, n. 1, 1990, pp. 27-41.

10.C.M. Adams and S.E. Tavares, "Designing S-Boxes for Ciphers Resistant to Differential

Cryptanalysis," Proceedings of the 3rd Symposium on State and Progress of Research in Cryptography Rome, Italy, 15-16 Feh 1993, pp. 181-190.

11.W. Adams and D. Shanks, "Strong Primality Tests That Are Not Sufficient, " Mathematics of

Computation, v. 39, 1982, pp. 255-300.

12.W.W Adams and L.J. Goldstein, Introduction to Number Theory, Englewood Cliffs, N.J.:

Prentice-Hall, 1976.

13.B.S. Adiga and P. Shankar, "Modified LuLee Cryptosystem," Electronics Letters, v 21, n. 18,

29 Aug 1985, pp. 794-795.

14.L.M. Adleman, "A Subexponential Algorithm for the Discrete Logarithm Problem with

Applications to Cryptography," Proceedings of the IEEE 20th Annual Symposium of Foundations of Computer Science, 1979, pp.55-60.

15.L.M. Adleman, "On Breaking Generalized Knapsack Public Key Cryptosystems, " Proceedings

of the 15th ACM Symposium on Theory of Computing, 1983, pp. 402412.

16.L.M. Adleman, "Factoring Numbers Using Singular Integers," Proceedings of the 23rd

Annual ACM Symposium on the Theory of Computing, 1991, pp. 64 71.

17.L.M. Adleman, "Molecular Computation of Solutions to Combinatorial Problems," Science, v.

266, n. 11, Nov 1994, p. 1021.

18.L.M. Adleman, D. Estes, and K. McCurley, "Solving Bivariate Quadratic Congruences in Random Polynomial Time," Mathematics of Computation, v. 48, n. 177, Jan 1987, pp. 1728.

19.L.M. Adleman, C. Pomerance, and R.S. Rumeley, "On Distinguishing Prime Numbers from

Composite Numbers, " Annals of Mathematics, v. 117, n. 1, 1983, pp. 173-206.

20.L.M. Adleman and R.L. Rivest, "How to Break the Lu-Lee {COMSAT) Public-Key

Cryptosystem, " MIT Laboratory for Computer Science, Jul 1979.

21.G.B. Agnew, "Random Sources for Cryptographic Systems, " Advances in Cryptology

EUROCRYPT 8 7 Proceedings, Springer-Verlag, 1988, pp. 77-81.

22.G.B. Agnew, R.C. Mullin, I.M. Onyszchuk, and S.A. Vanstone, "An Implementation for a

Fast Public-Key Cryptosystem," Journal of Cryptology, v. 3, n. 2, 1991, pp. 63-79.

23.G.B. Agnew, R.C. Mullin, and S.A. Vanstone, "A Fast Elliptic Curve Cryptosystem," Advances in Cryptology EUROCRYPT 89 Proceedings, Spnnger-Verlag, 1990, pp. 706708.

24.G.B. Agnew, R.C. Mullin, and S.A. Vanstone, "Improved Digital Signature Scheme Based on

Discrete Exponentiation, " Electronics Letters, v. 26, n. 14, 5 Jul 1990, pp. 1024 1025.

25.G.B. Agnew, R.C. Mullin, and S.A. Vanstone, "On the Development of a Fast Elliptic Curve

Cryptosystem," Advances in Cryptology EUROCRYPT 92 Proceedings, Springer-Verlag, 1993, pp. 482

26.G.B. Agnew, R.C. Mullin, and S.A. Vanstone, "An Implementation of Elliptic Curve

Cryptosystems over F:155," IEEE Selected Areas of Communications, v. 11, n. 5, Jun 1993,

pp. 804-813.

27. A. Aho, J. Hopcroft, and J. Ullman. The 40. Design and Analysis of Computer Algorithms, Addison-Wesley, 1974.