dxdt.ru: занимательный интернет-журнал

Всё ж lenta.ru не утратила хватки, и, как всегда, умеет лучше других СМИ сформулировать “объяснение” “сложных” вещей так, что мало не покажется. На этот раз про P vs NP и криптографию – замечательное:

В современных шифрах используется принцип больших чисел – передаваемая информация кодируется таким огромным количеством цифр (так называемый ключ), что на вскрытие этого кода злоумышленнику придется потратить столько времени, что эта задача потеряет всякий смысл.

(Шифры и “защита кредитных карт” вообще не при чём там, в исходной теме, но всё ж упомянули их – потому что, видимо, красиво звучит.)

Всё ж сложно пройти мимо очередной “новости об Интернете”, распространяемой СМИ. Система “слышали звон, но не знают, где он” настолько хорошо отлажена, что моментально порождает занимательные эффекты. Речь о “шести (семи) экспертах-программистах, которых уполномочили перезагрузить Интернет, если он сломается” – сейчас уже все крупные СМИ широкого назначения отписались об этом. Следом идут “специальные” СМИ, журналисты которых смогли найти ключевое слово – DNSSEC (но до основы, конечно, не докопали). В качестве первоисточника называют “Би-би-си”.

Было несложно догадаться, что источником смешной новости послужила информация о том, каким образом происходит генерация и сопровождение ключей в глобальной DNSSEC. Нужно, правда, внести коррективы. Если поверить не “Би-би-си”, а настоящему первоисточнику – ICANN, – то получится, что:

1) Команда экспертов, выступающих представителями интернет-сообщества, включает в себя 21 человека в “основном составе”, плюс 13 человек – “скамейка запасных”. Назначение команды – обеспечивать процесс генерации и сопровождения ключей, подписывающих корневую зону DNS, выступая, фактически, в роли доверенных контролёров;

2) По группам внутри этой команды: есть две группы по семь человек, каждая закреплена за одним из двух дата-центров, в которых генерируют составляющие ключа KSK и используют его для подписания других ключей; люди из этих групп хранят ключи, необходимые для получения паролей от криптосервера. Интересно, что, как пишут в документации, тут речь о “физических” ключах от сейфа, в котором находятся пароли к криптосерверу (нужно будет спросить, что там за ключи на самом деле).

Третья группа хранит смарткарты, с частями ключа, позволяющего расшифровать резервную копию секретного KSK, в случае, если вдруг основная копия, находящаяся в криптосервере, исчезнет.

В резерве – семь человек с ключами “от криптосервера” (условно) и шесть – с частями ключами от резервной копии.

3) По ключам. Используют KSK и ZSK. С помощью KSK подписывают ZSK, которым подписывается корневая зона. ZSK генерирует VeriSign, потому что эта компания технически отвечает за распространение корневой зоны DNS. По процедуре, новые ZSK выкатываются четырежды в год. Каждый новый ZSK должен быть подписан защищённым криптосервером, в котором содержится секретная часть KSK. То есть, четыре раза в год эксперты с ключами “от криптосервера” (см. выше) приезжают в дата-центр и “отпирают” криптосервер, тем самым разрешая подписать новый ZSK. Те доверенные люди, которые хранят смарт-карты с частями ключа, которым зашифрована резервная копия KSK – выезжают “на восстановление” не по графику, а только если основная копия утрачена. (Видимо, только этот момент, благодаря его драматургии, и привлёк журналистов.)

Понятно, что если действовать по процедуре, без держателей ключей “от криптосервера” подписать зону восстановленным из резервной копии KSK не получится. Более того, по существующей процедуре не получится вообще что-либо сделать с корневой зоной без участия VeriSign и Минторга США – какими ключами не размахивай. Очевидно, что утрата секретного ключа KSK не приведёт одномоментно к отключению DNS и краху DNSSEC. До момента истечения срока действия текущего ZSK даже изменения в зону можно будет вносить. Подписать новый ZSK утраченным KSK – да, не выйдет.

Ну а самое интересное, что в крайнем случае никто не помешает просто сгенерировать новый KSK силами ICANN, Минторга и VeriSign, как это уже было сделано при развёртывании DNSSEC.

Пишут в новостях:

Контракт по поставкам Ирану комплексов противовоздушной обороны С-300 пока не аннулирован, сообщил глава госкорпорации “Ростехнологии” Сергей Чемезов.

Запустили новый этап регистрации доменов .РФ. В результате наблюдается аномальный вал заявок на регистрацию СМИ, цель – получение приоритета на “вкусные” имена. Подробнее пишут в блоге RU-CENTER.

Addon: кстати, вышло официальное сообщение Роскомнадзора по теме.

Известно, что через специальную фирму U.S. Aerospace заявку на участие в многострадальном тендере на модернизацию штатовского флота летающих танкеров подал “Антонов”. На Flightglobal.com публикуют презентацию An-112KC. Это как раз предлагаемый к участию вариант Ан-70. В презентации заявки использован фотоснимок, демонстрирующий Ан-70 “в снегах”. Всё бы нечего, но, как пишут, на снимке запечатлён потерпевший крушение в 2001 году Ан-70: тогда у самолёта при взлёте отказали два двигателя и он упал на поле, разломившись пополам.

Действительно, если посмотреть на упомянутый слайд (копия – ниже), то видно, что с самолётом на “снежном снимке” явно какие-то проблемы. Они и установлен неестественно, и лопастей на одном винте не хватает.

Это, конечно, серьёзный иллюстративный перебор, трудно не согласится с автором исходного сообщения.

Сейчас самый популярный хеш – 9ec4c12949a4f31474f299058ce2b22a. Это число, размещённое на официальной нашивке штатовского киберкомандования. С подачи Wired многие кинулись “расшифровывать” – что значит сей хеш? Быстро выяснилось, что это как бы всего лишь MD5 от официального “бюрократического” описания миссии киберкомандования (текст не привожу, его легко найти; уже сутки как вошло в “Википедию”). Вроде бы, уже официальные лица подтвердили, что, да, так и есть – использовался текст описания миссии, несекретный. Пресса пошумела в англоязычном секторе. Сейчас российская подхватит. Очень много блогеры пишут. В общем, грамотный PR, без дураков.

Но что упускают из виду: в MD5 по определению есть коллизии. То есть, в одно значение функции отображается сколь угодно много текстов (не все осмысленные, да). Поэтому вовсе не факт, что именно опубликованный текст нужно принимать за реальную задумку. Ну, подумаешь, сказали: “да, вот этот самый текст!” А может, там совсем другой текст-то был заложен, ага. Шутка оказалась с намёком, с двойным дном.

Ну и учитывайте ещё, что в MD5 заданные пары текстов, порождающих коллизии, находить много проще, чем подбирать коллизию к заданному хешу (на этом эффекте три года назад сломали SSL).

Вот.

Появились практически соседние новости в ленте, очень показательно:

ЦАГИ разработал концепцию применения схемы “летающее крыло” для пассажирского самолета;

“Аэрофлот” приобрел 11 самолетов A330-300.

А очередная “концепция” старинной идеи (из 20-х годов прошлого века) – это да, это интересное.

Оказывается, 1 июля французский Rafale публично признан пригодным для применения ракеты MBDA ASMPA, оснащённой ядерной боевой частью.

Вариант ракеты для Rafale это развитие программы, в рамках которой сконструировали аналогичные ракеты для Mirage 2000. ASMPA использует прямоточнный воздушно-реактивный двигатель. Понятно, что разумное предназначение – борьба с кораблями: летает достаточно далеко, над морем можно особенно точно не прицеливаться.

На сайте Координационного центра (это администратор доменов RU и РФ) читаем в новости замечательное (ключевой фрагмент я выделил):

По результатам тестирования работы первых кириллических доменов в разных браузерах были выявлены не только технические проблемы браузеров, но и зашитые в них бизнес-процессы, включая переадресацию написанных кириллицей слов на домен .COM или на страницу поиска вместо корректного отображения кириллического доменного имени.

Уж не знаю, что там за такое тестирование было, но новость, да, сногсшибательная. “Бизнес-процессы”, зашитые в браузеры. Вот как. Например, бухгалтерский учёт, зашитый в браузер. (Ну и вообще там понять что-то в тексте трудно. Даже браузеры названы с ошибками.)