14 апреля 1998    

Каждый раз, когда кто-либо делает глупость из числа классических, я, с одной строны, не удивляюсь (откуда взяться классической глупости, если ее не будут совершать из раза в раз), с другой - ну нельзя же так-то по граблям-то!

Что кто-то на какие-то сочные грабли с разбегу наступил, вы уже догадались. Осталось только рассказать, кто и как. Но сначала о самих граблях.

Есть старый добрый тезис. Если методика криптозащиты закрыта (алгоритмы не опубликованы), то стойкость такой криптозащиты считается неизвестной вне зависимости от того, смог ее кто взломать, или нет. Если некоторый алгоритм претендует на некоторую стойкость, он должен быть обнародован, что дает возможность аналитически гарантировать в нем отсутствие известных ошибок и дыр. Это правило знает каждый ребенок, и если кто-либо предлагает кому-либо систему шифрования, метод действия которой неизвестен, это либо кидальщик, либо халявщик, либо рекетир. Последнее возможно, кажется, только в нашей стране, с ее, мягко говоря, неидеальным положением в области лицензирования криптоситстем. Однако на проблему, о которой идет речь, сумел напороться конкретно весь земной шар, да так, что просто ой.

Дело в том, что криптозащита идентификации пользователя в широко известной системе сотовой телефонии GSM оказалась внезапно взломана, так, что теперь идентификатор любого пользователя GSM-телефона можно запросто скопировать, сделав два, три, десять телефонов, работающих от его имени и за его счет. Учитывая то, что аппаратура GSM-связи не в состоянии отсекать все случаи работы двух и более телефонов с одним кодом пользователя, это открывает широкие возможности для свершения разнообразных преступлений, начиная от тривиального "проехаться за чужой счет" до махинаций с call back-ами и т.п.

Как вы догадались, главным промахом авторов стандарта GSM является как раз то, что методика шифрования не публиковалась. Это и привело к печальному результату. В методике шифрования была допущена грубая криптографическая ошибка, позволяющая злоумышленнику просканировать модуль идентификации абонента и извлечь из него все, что нужно для создания копии.

Скандал, вообще говоря.

Главное, что непонятно - зачем методика шифрования была скрыта. Этому есть только одна причина, как мне видится. Вероятно, разработчики сами обнаружили недостаточную стойкость алгоритма, и решили, что проще сохранить его в тайне, чем переделать. :-( Впрочем, см. ниже.

Есть у этой истории и радостная сторона. Взломанный механизм идентификации - не единственный из допустимых по стандарту GSM. Однако именно он используется почти повсеместно. Возможна замена его другим алгоритмом, а может быть удастся исправить и этот. Тем не менее, по хорошему после того как лекарство будет найдено все существующие SIM-ы должны быть изъяты из обращения и заменены новыми. Вдобавок, скорее всего, потребуется обновление стационарной GSM-аппаратуры.

В процессе анализа алгоритма выяснилась и еще одна скандальная подробность, которая, думается, вызовет больше шума, чем вышеописанная проблема. Дело в том, что алгоритм шифрования трафика в системе GSM, как выяснилось, был намеренно ослаблен с тем, чтобы облегчить его дешифровку при подслушивании. Из 64 возможных бит кода используются 54, а десять - обнуляются. Вероятно, именно это и привело к тому, что стандарт хранился в тайне. Видимо, никто не захотел публично признаваться в сотрудничестве с разведкой. :-(

Подчищая хвосты, нашел в почтовом ящике письмо о создании "Клуба друзей фирмы AMD". Цитирую: "Основная задача этого клуба - популяризация процессоров фирмы AMD как оптимального (на наш взгляд) ЦП для компьютеров общего назначения. Хотя мы действуем при поддержке фирмы AMD, мы являемся независимой командой и оставляем за собой право высказывать мнения расходящиеся с мнением AMD. На данный момент на сайте присутствует некоторая переведенная на русский язык информация по выбору комплектующих для ПК на базе AMD K5 и K6. Члены клуба могут бесплатно заказать переводы большого количества документации."

Все это - на сайте http://www.spbnet.spb.ru/. Есть информация для конечных полоьзователей, продавцов, программистов. Правда, не очень много. И дизайн не идеален, увы. Но это не страшно. :-)

Уж не помню, давал ли я ссылкку на Московский Шаманский Центр, но зайти стоит. Круто! На бабки разводят только так. См. цитату: "Магия бизнеса - целое искусство. С помощью нее можно развить свое дело и добиться прекрасных результатов, обходя "подводные камни". Но это не способ зарабатывать деньги любыми путями. Это способ работать эффективно и находиться в состоянии энергетической безопасности."

Или вот, цитата покрупнее:

Как все мило. Семинары по шаманству... Наследие героев Ильфа, Петрова и О'Генри.

Здесь можно попытаться набить морду Гейтсу, и еще куче разных людей. Если они вам не набьют. Дерется Гейтс прилично, надо сказать. :-)

Только что увидел баннер с надписью "самая свежая информация". Думаю, он должен вести на страничку, содержащую точные часы, и ничего более... это, кажется, единственный способ гарантировать "самую свежесть".

Микрософт официально объявил об отказе от использования словосочетания Palm PC и заменил его на palm-sized PC. Не ахти, но все же.

Генеральным спонсором журнала dz online является компания

Спонсор не отвечает за содержание публикуемых материалов.

Пишите нам! Редакции интересно знать мнение своих читателей. Если Вы не против опубликования Вашего письма, то, пожалуйста, указывайте это в самом письме. Если у вас возникли проблемы с нашим сервером - просьба обращаться к веб-мастеру

Copyright c dz online, 1996-1998 Designed by Denis A. Kim