Предисловие

От редактора перевода


Обращаем внимание читателей на то, что статья "Анализ надежности PGP" была подготовлена Сювертом ван Оттерлоо в первой половине 2001 года. Она основана на исследовании PGP 7.x и, соответственно, затрагивает ряд уязвимостей, присущих этой и предшествующим версиям программы, но не появившихся или исправленных в последующих. Также, по понятным причинам, в этой работе не рассмотрены события из истории PGP, начавшиеся с октября 2001 года, когда NAI объявила о прекращении поддержки программы и о планах по продаже PGP Division, и по август 2002-го, когда интеллектуальная собственность и авторские права на криптосистему были приобретены новой компанией PGP Corporation.

Хотя в некоторых деталях работа может оказаться слегка устаревшей, это не касается основной части статьи, по-прежнему представляющей исключительный практический интерес для всех, кого интересуют подробности работы программы. Что касается актуального списка и статуса уязвимостей, а также последних событий в истории PGP, их можно найти на этих страницах[link1] нашего сайта.

Желаем вам приятного чтения.
SATtva[link2], 2005 год

Предисловие автора


Обложка книги Брюса Шнайера (9 Кб)
Обложка книги Брюса Шнайера
Поздравляю с приобретением книги "Анализ надежности PGP". Надеюсь, вы получите удовольствие от чтения этого текста, и он сподвигнет вас к дальнейшему изучению криптографии. Специально для дальнейшего освоения к книге приложен CD-ROM-диск. Он содержит множество статей, которые использовались при подготовке этого материала, программу PGP и некоторые другие полезные приложения. В частности, на диске находится полный текст "Пособия по прикладной криптографии" [13][link3]. Эта книга представляет собой исчервывающее введение в криптографию, и многое из того, что упомянуто в этом тексте, может быть найдено в ней, даже если она не цитируется. Если же вы хотите купить книгу, я рекомендую вам "Прикладную криптографию" Брюса Шнайера [18][link4], которая не столь хороша в качестве пособия, но приятна и легка для понимания. Если живете по соседству, могу вам ее одолжить.

Дабы чтение доставляло вам еще большее удовольствие, я старался не начинать каждую главу с трюизма из сферы криптографии, какие можно встретить достаточно часто, наподобие

"Можно с точностью утверждать, что человеческий разум не может породить такой шифр, который бы человеческий разум не смог разгадать."
– Эдгар Аллан По

"Каждый, кто рассматривает математические методы как способ получения случайных чисел, бесспорно грешит."
– Джон фон Нейман

Я добавил несколько иллюстраций, чтобы облегчить восприятие, но, боюсь, даже несмотря на это, текст по-прежнему сложный. Также я включил индекс, 1 где вы сможете найти ссылки на значения и объяснения важных терминов и аббревиатур. Все слова, выделенные таким шрифтом, имеются в индексе.

Анализ


Вот люди, проводившие исследование для данной статьи:


Исследования проводились в период с января по август 2001 года.

Главными вопросами, на которые мы хотели ответить, были:


Одним из лучших источников информации были исходные тексты: одно из главных достоинств PGP в том, что код программы открыт для публичного изучения, так что вам не нужно слепо полагаться на навыки и мотивы разработчиков и программистов, которые вам неизвестны. Одной из целей нашей работы ставился подробный анализ исходных кодов PGP.

На осуществление этого исследования меня вдохновили находки Ральфа Сендерека (см. параграф "Ошибка в ADK"[link5]). Когда я начинал изучать криптографию, то сомневался, что такие широко известные и распространенные программы, как PGP, могут содержать серьезные или интересные дефекты, но результаты Сендерека заставили меня пересмотреть свою точку зрения. Исследования Сендерека были построены не на анализе исходных текстов, но на экспериментальном подходе и анализе входных и выходных данных PGP. По этой причине анализу исходных текстов посвящена только одна глава данной статьи, и помимо него мы также прибегали к другим исследовательским методикам.

Сюверт ван Оттерлоо и Фил Циммерманн (5 Кб)
Сюверт ван Оттерлоо и Фил Циммерманн
В качестве вступления мы привели полную историю PGP, включая все сопутствующие споры и противоречия. Нетрудно найти информацию по этой теме, поскольку многие люди считают историю PGP заслуживающей пересказа, но собрать все эти разрозненные куски воедино и выудить точные даты оказывается гораздо более сложной задачей. Полная история ничего вам не скажет о защищенности PGP, но мы выражаем надежду, что этот рассказ поспособствует лучшему пониманию дизайнерских решений, развивавших PGP, и даст некоторый обзор социальных аспектов криптографии.

Чтобы лучше разобраться в том, как работает программа, мы запускали ее вмести с отладчиками SoftIce, IDA PRO и утилитами NT file monitor и registry monitor с сайта http://www.sysinternals.com. Мы изучали PGP только в среде Windows NT, поскольку считаем, что это основная система, в которой PGP используют организации, кроме того эта платформа была у нас под рукой. Мы не сосредотачивались на изучении взаимодействий PGP с операционной системой (ОС), потому что для этого требуется множество специальных познаний в функционировании ОС (которых у нас нет и которые нам не нужны), и обнаруженные в таком исследовании ошибки в большинстве своем наверняка оказались бы ошибками самой ОС. Широко известно, что Windows небезопасна, и мы не собирались искать свежие доводы, подтверждающие эту позицию.

Я хочу поблагодарить всех людей, которые помогали мне в написании этой работы: Леона Куундерса, Бендта Ноордкампа, Эрнста фон Ринена, Фила Циммермана и Вернера Коха.

Официальный веб-сайт моих исследований PGP:


Эту статью можно загрузить оттуда. Если вы найдете какие-то ошибки, опечатки или неточности или просто захотите поделиться своим мнением об этой работе, пожалуйста, свяжитесь со мной:

Sieuwert van Otterloo
Rijnlaan 33bis
3522 BB Utrecht, The Netherlands
+31 6 155 24 227
sieuwert at bluering dot nl

Назад[link6] | Дальше[link7]


1 Предметный указатель (индекс) не вошёл в настоящую редакцию перевода. Найти любые интересующие слова и фразы вы можете, воспользовавшись функциями поиска[link8], — прим. пер.

Ссылки
[link1] https://www.pgpru.com/soft/pgp

[link2] https://www.pgpru.com/proekt/poljzovateli?profile=sattva

[link3] https://www.pgpru.com/biblioteka/statji/analiznadezhnostipgp/bibliografija#b13

[link4] https://www.pgpru.com/biblioteka/statji/analiznadezhnostipgp/bibliografija#b18

[link5] https://www.pgpru.com/biblioteka/statji/analiznadezhnostipgp/bagiataki/bagadk

[link6] https://www.pgpru.com/biblioteka/statji/analiznadezhnostipgp

[link7] https://www.pgpru.com/biblioteka/statji/analiznadezhnostipgp/vstuplenie

[link8] https://www.pgpru.com/poisk