Golos Ptic (golosptic) wrote,
Golos Ptic
golosptic

Categories:
Великолепная илюстрация тому, почему программистов нельзя допускать к власти.
http://vitus-wagner.livejournal.com/332643.html

Вполне грамотный и компетентный в своих профессиональных вопросах человек предлагает работающую сейчас систему государственного документооборота и документального удостоверения личности и всякого рода прав и обязанностей граждан полностью заменить на "централизованную базу данных с репликацией по всем заинтересованным учреждениям" (про централизацию - это не в тексте основного постинга, а в комментах разворачивает). О последствиях тоталитарного плана, о которых, кстати сто тысяч раз уже было писано он не думает - заявляя, что мол, мы и так живём в тоталитарном обществе (что является откровенной неправдой и передёргиванием). Всю безопасность системы предлагает делать на криптографии с открытым ключём и типа чтоб гражданин и чиновник, сочетая свои ключики, санционировали получение нужной информации в конкретный момент.

Т.е. у специалиста по криптографии есть такая глубокая иллюзия, что защиту информации можно обеспечить чисто криптографическими методами - о том, что эта схема будет быстро и довольно легко атакованна заинтересованными лицами с использованием организационных "люков" он типа не думает. А я вот сходу 3-4 метода такой атаки придумал - наплевав на криптографию как таковую, но придумав соответствующие организационные ходы. Которые БУДУТ сделаны обязательно.

Т.е. на самом деле это всё - такое гипертрофированное торжество индустриального типа мышления. Как раньше очень любили придумывать названия времени - XIX век - это типа 'век угля и стали', то XXый - 'век химии, электричества и атомной энергии', то нам теперь подбрасывают новую технологию, которая якобы будет модулировать нашу жизнь в XXIом - 'веке крипто с открытым ключом'. Не будет. Кончилась эта парадигма, извините уж за умное слово.

P.S. Отдельный, очень забавный вопрос - это систематическое следование соответствующих специалистов мифу, популяризованному Брюсом Шнайером и компанией о том, что де безопасность данных должна обеспечиваться не 'секретностью процедур', а 'криптостойкостью алгоритма'. Это совершенно идеалистическое утверждение, слабо связанное с реальной практикой и попросту нереализуемое.

А реальная практика такова, что львиная доля безопасности достигается за счёт "организационной вязкости" и те, кому не надо, не получают доступ туда, куда им нельзя не потому, что это алгоритмически невозможно, а потому что время/деньго/ресурсозатраты слишком велики. И очень большая часть этих затрат относится к вопросам выяснения того, конкретно как сделать, как обойти всякие неявные грабли, сознательно оставленные, или бытующие в качестве технологического рудимента, а не на брут форс атаки.
С этой точки зрения предлагаемая Витусом система - одна сплошная дыра в частной жизни граждан. Там половину критичной информации можно получить и модифицировать просто засунув гражданину в жопу паяльник, а вторую половину этой же информации гражданин потеряет сам, просклерозив свой пароль.
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 45 comments