Опубликовано в журнале "Компьютерра" №11 от 25.03.2002 г.
Наш обозреватель Берд Киви - типичный оптимист из известного анекдота, в ответ на реплику: «Ну все, хуже некуда», неизменно отвечающий: «Есть, есть куда!» Поскольку Берд не самостоятельная личность, а аватар, существующий лишь в виде адреса электронной почты, никакими интонациями и мимикой это, разумеется, не сопровождается.
Публикуемую сегодня статью-обзор последних достижений в области Tempest-атак (то есть атак, эксплуатирующих физическую, а не логическую утечку информации) он завершает традиционным для себя образом: «Но все эти тонкости мало кого касаются, поскольку у большинства в системах есть дыры и пошире».
Мне кажется, в данном случае это не то чтобы неправда, а несколько «мимо кассы», и тема раскрыта не полностью. Ключевая фраза и цитируемого автором д-ра Куна, и самого автора, и авторов еще ряда комментариев: «назначение дисплеев - излучать информацию, доступную человеческому глазу».
Отличие оптической атаки Куна, упоминаемой Киви, от атак, использующих побочные каналы утечки информации (электромагнитные и акустические излучения различных компонентов систем, задержку в получении результата и т. п.), именно в том, что атакуется не побочный канал, а основной.
Основная техническая стратегия блокирования
побочных каналов (вне зависимости от уровня техники, определяющего ценовой диапазон решений) известна: опустить уровень сигнала на периметре ниже уровня шума в соответствующем диапазоне механических (в том числе акустических) или электромагнитных (включая радиоволны, видимый свет, инфракрасное излучение) колебаний. Шум гаммирует абсолютно (см. Шеннона с Котельниковым), и шума за периметром обычно хватает, а если нет, можно добавить своего.
Основной канал, ведущий от устройства к человеку, должен быть чистым и избыточным в своей чистоте. Как некоторое общее место, часто звучит тезис о том, что человек становится самым уязвимым элементом информационных систем. Обычно имеются в виду такие психические и интеллектуальные человеческие качества, как доверчивость, забывчивость, беспечность, необоснованный оптимизм (не в смысле, с которого я начал статью, а просто систематическое занижение оценки уровня рисков).
Однако человек как информационное устройство уязвим и на физиологическом уровне. Уязвим настолько, насколько он не предназначен и не приспособлен для работы в информационных системах.
Сейчас я это попробую показать.
На типовом экране отображается около двух тысяч знаков (то, что называется screenful), представляющих, с учетом избыточности человеческого языка, в среднем менее одного килобайта информации. Для комфортной работы, определяемой человеческой физиологией, эти две тысячи знаков должны быть представлены в физическом разрешении, как минимум, 800x600 точек при глубине цвета (градаций серого) в 8 бит (для сглаживания), что отъедает полмегабайта, - информационный «масштаб», «коэффициент согласования» интерфейса (последних дюймов упомянутого основного канала) оказывается никак не меньше 1:500. И это самый простой интерфейс - отображение статического текста.
Или все же, наоборот, современные технические системы не приспособлены к человеку? Принципиальных тактик защиты от атаки на основной канал может быть три (по крайней мере, больше мне насчитать не удалось).
Во-первых, и это самый реалистичный сценарий, можно замкнуть в охраняемый периметр человека-приемника сигнала вместе с его источником. Собственно, так и поступают в рамках регламентов, определяющих меры по обеспечению безопасности секретных объектов: в данном случае это означает, что помещение, в котором расположены дисплеи, должно быть светонепроницаемым или должно обеспечиваться рассеяние света с фазовым сдвигом (например, пресловутыми плитами из прессованного битого стекла).
Но это означает, что нужно забыть, например, о защищенных мобильных (не просто портативных, а работающих на ходу) системах, и вообще о любых устройствах, периметр безопасности которых не выходит за пределы их габаритов (если последние не столь велики, что человека можно поместить внутрь). Некое приближение - прилегающие к лицу губки, подобные тем, которыми снабжаются промышленные осциллографы, но представить широкое использование чего-либо подобного трудно. Тактика оказывается применима лишь для охраны ограниченного объема корпоративных или государственных секретов, а для защиты обычной личной и коммерческой тайны - нет.
Во-вторых, и это уже фантастический сценарий, можно защитить сам основной канал. То, что человек от природы не способен выполнять в уме вычисления с числами достаточно длинными, чтобы обеспечить стойкое шифрование, видимо, следует считать важным антропологическим обстоятельством. Реализация сценария соответственно предполагает имплантацию в тело дополнительной функциональности; схема выглядит весьма привлекательной, однако, к (не)счастью, находится за пределами сегодняшних технических возможностей.
В-третьих, можно просто исключить основной канал - «нет человека, нет проблемы», и заменить автоматизированную (человеко-машинную) систему автоматической (бесчеловечной). Это тоже из области фантастики, но уже социальной - в социальной действительности секрета не существует, если нет обладающего им. За пределами этого набора возможностей остается четвертая - не использовать канал, известный своей уязвимостью. Недавно мне показали прототип устройства для вывода текстовых сообщений сетей мобильной телефонии в системе Брайля для незрячих (разумеется, для компьютера существует масса таких устройств, просто мне не доводилось сталкиваться с ними вживую).
«Если глаз твой соблазняет тебя пренебречь безопасностью…»