dxdt.ru: занимательный интернет-журнал

История с чередой “поломок” удостоверяющих центров, выдающих SSL-сертификаты, наводит на довольно логичный вывод: коммерческую систему “управления доверием” могут очень сильно перекроить. Потому что момент подходящий.

Вообще, иерархия удостоверяющих центров в реализации браузерных криптографических схем с SSL вводится при помощи одного вроде бы простого утверждения: обязательно требуется механизм, позволяющий проводить идентификацию предъявителей сертификатов с помощью “третьей стороны”. Напомню простой пример: кто-то предъявляет браузеру SSL-сертификат, выпущенный для домена test.ru – откуда браузер знает, что этот кто-то действительно имеет отношение к test.ru? Выпустить самоподписанный сертификат для test.ru может кто угодно.

Страшилка: этот “кто угодно” может вмешаться в канал связи и выдать себя за владельца test.ru. Неожиданным образом, этот момент лежит в основе продаж SSL-сертификатов. Предлагается поступать так: пользователь выбирает некую доверенную организацию, которая проверяет, что предъявитель сертификата действительно представляет test.ru; теперь пользователь принимает только те сертификаты для test.ru, которые подписаны доверенной организацией. Вроде бы, все довольны.

Но в реальности – проблемы. Например, оказалось, что эти самые “доверенные организации” могут подписать что угодно. Либо в результате взлома, это как раз основа нынешней шумихи, либо вполне себе осознанно, скажем, действуя в рамках сотрудничества с производителями систем мониторинга трафика. Самое занятное, что ни пользователь браузера, ни тот, кто приобретает SSL-сертификат, не могут повлиять на ситуацию и как-то предотвратить подобное использование имеющейся инфраструктуры: в браузеры встроены десятки “корней” удостоверяющих центров (УЦ), каждый из них технически может подписать любую ерунду. Выходит, что для пользователей и потребителей SSL-сертификатов от коммерческих УЦ заявленный механизм идентификации не факт, что работает. (Да, понятно, что можно возразить: нет, работает! Но плана для проверки всё равно не реализовано.)

Кстати, а нужен ли вообще этот механизм удостоверения “третьей стороной”? Существует другой подход, предусматривающий сохранение некоторого уникального “отпечатка” (это может быть открытый ключ, например) при первом “контакте” с другой стороной, участвующей в обмене данными. В дальнейшем проверяется, не изменился ли отпечаток. Понятно, что если в канал связи кто-то вмешался и выдаёт себя за другого, то такая подмена будет обнаружена (если, конечно, этот “другой” не принял чужую личину с самого начала). Например, так работает SSH. Тут есть свои проблемы, их много. Но есть и крайне привлекательный момент: в схеме участвуют только те, кто действительно обменивается данными и им не нужно звать “третью сторону”, в том числе, в финансовом плане.

Естественно, описанные трудности SSL касаются только имеющейся практической реализации. Если у вас есть возможность пользоваться действительно добротными услугами по идентификации от “третьей стороны”, то полученная схема, надстроенная поверх непрерывного контроля подлинности при помощи уникальных отпечатков (см. предыдущий абзац), оказывается весьма сильной защитой.

И вот тут появляется DNS и DNSSEC. В DNS единый корень. Как раз доменное имя (читай – инфраструктура DNS) позволяет типичному пользователю установить “первый контакт” с неизвестным ему ранее сайтом. DNSSEC, понятно, также содержит единый корень и подписать “что попало” – не выйдет, так как доменные имена должны быть уникальны. С чисто технической точки зрения с помощью DNSSEC можно удостоверить не только адресную информацию, но и дополнительные сведения, например, указать, какие именно сертификаты – или, что конкретнее, криптографические ключи, – может использовать сайт под данным доменом. Заметьте, существующая иерархия УЦ здесь уже не нужна!

Но главное, что криптографическая часть от DNSSEC уже неплохо популяризована, корневые ключи сгенерированы, а у руля уже стоит бренд VeriSign, который хорошо узнаваем и в отношении SSL-сертификатов.

Так что шумиха раскручена не просто так. Наверняка готовятся очень интересные перемены.

Дополнение: да, понятно, что при условии изменения порядка и появления у DNSSEC новой роли, корректирующей судьбу SSL, к бизнесу по “управлению доверием” прямо подключаются регистраторы доменов.

Если все голосующие жители оснащены компьютерами, то можно устроить полностью распределённую систему, в которой нет центрального “контролирующего сервера”, а все участники могут проверить легитимность того или иного решения. При этом можно сохранить анонимность, если потребуется. Естественно, как и всякая добротная криптосистема всё можно реализовать в открытых исходных кодах, на базе открытых алгоритмов. Примерно так работает Bitcoin, например (со своими особенностями, конечно).

Понятно, что как только такая сеть создана, на её базе уже нетрудно поднять систему всеобщего прямого голосования. Впрочем, результаты такого нововведения довольно подробно описаны в фантастических рассказах.

Кстати, наверное, при повсеместном распространении и “исторической привычке” не возникнет особенных вопросов о том, как схема работает. Тем более, что всё открыто.

Между прочим, простой полный привод для четырёхколёсного автомобиля – то есть, с тремя “свободными” дифференциалами, – на плохой дороге может оказаться хуже, чем монопривод.

Хитрость вот в чём: при такой схеме ко всем колёсам подводится равный крутящий момент; если хотя бы одно колесо оказалось на поверхности с плохими сцепными свойствами, то, соответственно, момент во всей системе оказывается минимальным – “свободное” колесо вращается, проскальзывая, а остальные колёса стоят. Стоят они потому, что крутящего момента недостаточно для того, чтобы их повернуть. Шанс, что одно из четырёх колёс попадёт на скользкую поверхность выше, чем в случае с одним колесом из пары ведущих. Вот и выходит, что лучше было ехать на “моноприводе”.

(На практике проблема решается введением блокировок дифференциалов, полных или частичных, либо путём отказа от межосевого дифференциала.)

Кстати, при использовании рельефа дна для навигации под водой, самое важное – это не оказаться над большим участком ровного дна. Потому что в таком случае ориентироваться крайне сложно: рельефа нет (точнее, он слишком “ровный”), а отличить по ранее собранной информации “о складках местности” одну равнину от другой, а тем более разные районы одной равнины, невозможно. Но это вовсе не отменяет полезности информации о ровном дне для хорошей подводной навигационной системы. По крайней мере, такая система будет знать, в каких районах аппарат точно не находится в данный момент, потому что в тех районах рельеф есть. (И это всё работает на практике, кроме шуток.)

Продолжаем выпускать блог dxdt.ru. Тема маскировки объектов, достижения невидимости – очень популярное направление теоретических и экспериментальных научных исследований. Сейчас направление развивается в сторону “динамической маскировки”, если только можно так сказать. Вот пишут в Physicsworld.com о работе, в которой физики показывают, как с помощью специальной конструкции корпуса судна (там речь о передвижении по поверхности воды) и использования материалов с особыми свойствами можно полностью избавиться от спутного следа, возникающего в результате возмущения среды. Причём, в перспективе, технология работает не только на воде (под водой), но и в воздухе. Основная идея та же, что и в прочих схемах с “невидимостью”: “обтекание” объекта волнами происходит таким образом, что из точек, находящихся на некотором удалении от движущегося объекта, всё выглядит так, как будто никакого объекта и нет.

Очевидно, что военных применений у маскировки спутного следа больше, чем гражданских. Из последних напрашивается только одно – снижение сопротивления движению для быстроходных судов, экономия топлива. А вот для военных – тут очень важно то, что спутный след находится среди важнейших демаскирующих признаков. Не только для надводных кораблей, но и для подводных. А равно и для летательных аппаратов. Дело вовсе не в звуке, связанном с образованием следа, а в том, что именно след оказывается проще обнаруживать с помощью и пассивных, и активных средств наблюдения. Например, известно, что с воздуха с помощью специальных радаров можно наблюдать волны на поверхности, вызванные идущим под водой ракетным крейсером (этот “волновой” след мало того, что возникает на поверхности океана, так он ещё и длиннее, чем сама подводная лодка). Аналогичная ситуация и с наблюдением за лодкой из космоса.

Малозаметные летательные аппараты – та же история: сам аппарат может быть полностью “прозрачен” для радара, но изменения в атмосфере, вызванные его полётом, можно наблюдать. Особенно это касается сверхзвуковых аппаратов. Впрочем, для сверхзвукового полёта создать маскировочную схему, которая удалит спутный след, намного сложнее. Если вообще возможно.

Занимательно, что исследовательская мысль, как обычно, движется с опережением. Пока что нет практических систем для придания технике невидимости (в световом диапазоне, например). Но уже есть множество идей (вполне реализуемых на практике прямо сейчас) о том, как подобных невидимок обнаруживать, в том числе и с помощью детектирования изменений в среде, внутри которой невидимка передвигается. Логичный ответ: а мы придумаем, как и эти изменения спрятать. Вот только итоговое универсальное устройство пока, даже теоретически, получается уж слишком сложным, одним плащом не отделаешься.

Тут в одной закрытой рассылке подписчик высказывает предположение, что основная часть вычислительных ресурсов современных компьютеров тратится на шифрование/дешифровку данных. Удивительным образом, поводом для такого вывода подписчика служит тот факт, что компьютеры изначально придумали именно для использования в криптографии. (Подробностей не указываю: правила рассылки запрещают.)

Действительно, интересно, на что же тратится сейчас львиная доля гигантской вычислительной мощности всех компьютеров человечества? Понятно, что из-за распространения мобильных телефонов и всякой прочей “умной техники” кучу ресурсов потребляет преобразование сигналов (это далеко не всегда шифрование), кодирование/декодирование. Передача данных по сетям связи кроме того требует поиска в таблицах. Существенны задачи накопления информации в очередях и разных буферах. При этом работающий Интернет гарантирует, что гигантские мощности расходуются на рендеринг веб-страниц сотнями миллионов пользовательских компьютеров (ресурсов уходит всяко больше, чем на шифрование/дешифровку – иначе не было бы всех тех проблем с безопасностью, ага).

Однако, похоже, что основная-то вычислительная мощность тратится иначе. Она расходуется впустую. А точнее: на выработку тепла. Почему? Да потому, что пока пользователь читает веб-страницу, операционная система (ОС) его компьютера, в лучшем случае, гоняет какие-нибудь ненужные массивы из оперативной памяти – на диск; а потом – обратно. В чуть менее хорошем случае, ОС проверяет почту (которая не поступила ещё в ящик), пытается обмениваться мгновенными сообщениями, отрисовывает красивые “обои” и перекодирует файл с фильмом (не шифрование, нет). В худшем же случае, ОС, заражённая трояном, рассылает спам и DoS-ит какой-то сайт (не МЛМ, не гербалайф, не шифрование!).

Но, скорее всего, тепло, вырабатываемое процессором при “перекидывании” задач фонового режима, – и есть именно то, на что расходуется большая часть планетарной вычислительной мощности. И суперкомпьютеры, моделирующие сложные физические процессы, типа превращений белковой молекулы, ситуацию не спасают. Потому что их мало.

Технократический юмор по выходным.

Следом за кем-то из популяризаторов новой версии IP, всё чаще повторяют, что (в отличие от IPv4) “число адресов в новом протоколе – IPv6 – практически бесконечно”. Конечно, 2¹²⁸ – число большое. Но если сравнивать его с бесконечностью (даже потенциальной), то оказывается столь малым, что им можно просто пренебречь в расчётах. Другими словами, понятно, что новое адресное пространство не бесконечно. И можно придумать способы, приводящие к его исчерпанию за некое разумное время.

Хотя это будут непростые способы. Так, если задаться целью и выделить специальный класс адресов для геолокации, то ушедшие для обозначения каждого квадратного метра (а кому нужна точность выше?) земной поверхности IPv6-адреса практически никак не уменьшат пул свободных адресов. (Площадь Земли – примерно 5*10¹⁴ квадратных метров, а адресов доступно примерно 3*10³⁸; то есть, можно примерно все планеты в наблюдаемой Вселенной покрыть адресами, в несколько сотен слоёв.) А кроме того, использование IP-адресов для геолокационной привязки – не самое правильное решение, если только речь не идёт о фантастической глобальной сети связи с очень высокой плотностью узлов.

Естественно, отпадают и все варианты с нумерацией товаров широкого потребления: на утюги, пылесосы, автомобили и умные рубашки, умные кроссовки – адресов хватает. При этом, вышедшие из употребления вещи должны свои адреса возвращать в пул свободных.

Надежды можно связывать всё с теми же нанотехнологиями. Так, IPv6-адреса могут присваиваться нанороботам, имеющим размер примерно как десяток вирусов. Адреса используются для управления роботами. Тут, кстати, есть интересная проблема: как такой длинный адрес (128 бит!) записывать на самом роботе? Если один атом сохраняет один бит, то 128 атомов – это расточительство, если вы работаете в масштабах мира молекул. Наверное, можно отрезать идентификатор класса и сети от адреса и в самом нанороботе сохранять только последние несколько бит, а маршрутизацию управляющих команд, как обычно, поручить неким коммуникационным узлам. В общем, более или менее всё укладывается в схему протокола.

Нанороботы должны как-то там самокопироваться и, таким образом, множиться довольно быстро. Если каждую секунду робот “удваивается”, а мы начинаем с одного робота, то… ну, сами понимаете, при равномерном развитии процесса, уже примерно через две минуты станет ощущаться острая нехватка IPv6-адресов (как и всего другого на нашей родной планете). И проблема тут не в том, что скорость выдачи блоков IPv6 слишком мала и роботы не будут успевать адреса получать. Нет. Проблема в том, что даже если кубический миллиметр пространства может быть порабощён лишь одной тысячей нанороботов, то на момент исчерпания адресного пространства они уже захватят Землю, плотно заполнив собой океаны.

Сигнатура – это некий набор значений самых различных физических параметров, позволяющий узнавать определённый объект (либо класс объектов) или создавать хронологические шкалы, к которым можно привязывать события. То есть, сигнатуры очень полезны. Интересно, что встречаются довольно неожиданные источники сигнатур.

Вот, скажем, теоретически, по колебаниям частоты и напряжения в городской электросети можно определять, когда была сделана та или иная звукозапись (была даже подобная научная работа). Хитрость в том, что системы электроснабжения создают в аппаратуре наводки, которые могут фиксироваться в записи. Конечно, у вас должен быть архив отклонений в электроснабжении, привязанный к шкале времени, и при этом характеристики таких отклонений должны иметь подходящее распределение по времени. Да, очевидно, что запись должна делаться в примерно той же сети, для которой создан архив. Поэтому применение метода ограничено, но сама идея занятная.

Если взглянуть на окрестности современного мегаполиса, и на территорию самого мегаполиса, то окажется, что жители давно уже находятся внутри некоторого сплошного коммуникационного поля. Действительно давно: радиовещание получило распространение ещё на заре прошлого века. Информационные радиопередачи – это вполне себе коммуникация, но, правда, работающая в одну сторону.

На примере развития потребительских радиоприёмников видно, что все эти годы принципиально изменяется только степень вовлечённости конечного пользователя: следом за стационарными радиоприёмниками пришли портативные мобильные, появилось больше радиопрограмм/радиоканалов и так далее. То есть, исходное “коммуникационное поле” принципиально не изменилось, но вот люди стали всё больше и больше увеличивать свою связь с этим полем. Как один из эффектов – меняется степень зависимости от наличия непрерывной среды связи. Кто существенно зависел от устойчивого радиоприёма в 40-50-х годах прошлого века? Да разве что самолёты, находящиеся в воздухе. Да и то, с известными оговорками: так, ещё в конце 30-х бортовая радиостанция вовсе не являлась строго обязательным бортовым оборудованием истребителя. Сейчас от GPS, от радиосвязи с различными службами непосредственно зависит уйма направлений человеческой деятельности (про современную авиацию можно и не говорить – и так очевидно).

Всё это благодаря тому, что увеличились возможности проникновения того самого непрерывного коммуникационного поля: во-первых, появились портативные устройства с двусторонней связью (послушал/ответил); во-вторых, эти устройства автоматизировались и теперь поддерживают двусторонний информационный обмен самостоятельно, “проталкивая” информацию к человеку-пользователю – это как раз был важнейший шаг, главным результатом которого является мобильный доступ к Интернету “везде”. Это современный нам результат, и при этом исторический.

Что получается? Если взглянуть на историю стратегически, не вдаваясь в детали технологий, то получается, что уже около ста лет планомерно, в одном строго заданном направлении, развиваются средства подключения человека к “коммуникационному полю”. Не удивительно, что скорость прогресса в этой области сейчас столь велика: разгон начался давно. Киберпространство-то уже есть, оно вокруг нас и плотно привязано к реальности. Осталось реализовать возможность видеть киберпространство. Ну вот все и говорят про очки “с дополненной реальностью”. Реализация их – вопрос трёх-пяти лет. А интереснее, что будет потом: куда двигаться после очков? Видимо, киборги? Да, вполне себе получается логичное продолжение. А останутся ли они жить в мегаполисах?