вторник, 6 сентября 2011 г.

Если бы строители строили свои дома, как программисты пишут свои программы...

... первый залетевший дятел разрушил бы цивилизацию.

Вот оно и свершилось, мальчики и девочки. Вот тебе раз. Вот тебе два. А вот тебе и три. Как неоднократно было сказано многими людьми, система доверия SSL CA порочна по сути. Стоит скомпрометировать один CA - и вся система в коллапсе. Последняя новость особенно леденящая душу.

Ну, где же CPS* DigiNotar? В котором написано английским по-белому - "Мамой клянусь, базовая инфраструктура PKI отделена от Интернета воздушным промежутком!"? Где эти писульки всех остальных CA, затронутых инцидентом?
_________________________________
* CPS - Certificate Policy and Certification Practice Statement

Насколько я помню, невозможно было стать CA/RA без выполнения ряда жесточайших условий, проверяемых рядом независимых аудитов, что никакое действие с приватным ключом CA невозможно выполнить менее, чем двумя людьми (separation of duty) и без полного журналирования действий, включая видеоконтроль, записи которого должны храниться три года, что ведутся логи всего и вся, что эти логи хранятся три и более года. Что проводятся периодические аудиты на соответствие высокому званию CA, что, в случае обнаружения несоответствий, удостоверяющий центр лишается права выдачи сертификатов. И многое-многое другое, масса красивых слов, декларируемых на бумажке, именуемой CPS, которые выложены на главных страницах CA и, самое главное, свято принимаемыми на веру всеми потребителями ЭЦП, увероваших в непогрешимость CA почти как в бога.

Где все эти меры? Хакнули CA - и все тут. Теперь вперед, отзови-ка все дерево сертификатов. Посредством CRL объемом этак гигабайт в сто. И, главное - сделайте это оперативно, ок? OCSP так и не заработал, и повсеместной практикой не стал.

Гром-то не гремел ни разу серьезно. До недавнего времени. Когда SSL стал мэйнстримом (слово-то какое отвратительное, суется где надо и где не надо). Кстати, в непогрешимом Линуксе тоже десятками посыпались критичные баги, едва он вылез в мэйнстрим, но это уже отдельная голубая печаль.

А теперь вопрос ко мне - какого дьявола я приплел вторую новость, якобы не связанную логически с первой и третьей. Нет, совсем не в подтверждение тезиса, что "нельзя взломать лишь совесть - да и то лишь у некоторых".

А к тому, что нам предлагают как панацею от Каминского и Ко DNSSEC. Который - ВНЕЗАПНО! - базируется не на чем ином, как на SSL. 

Ага. Снова CA, RA, деревья доверия. Доверия кому? CA? CPS? "Мамой клянемся, что свято выполняем заветы Брюса Шнайера и у нас мышь не проползет"?

Причем - что самое характерное - никто не понял, что Пушистый Пушной Зверек, собственно, уже подкрался. Что скомпрометированы все смежные технологии, прямо или косвенно использующие SSL - например, SSH. Что под фактическим ударом оказались все интернет-банкинги, гнущие пальцы, что "ваши транзакции надежно защищены".  Что коллапс деревьев доверия начался и лавину не остановить. Что надо запасаться попкорном и ждать следующей серии инцидентов с причинением ущерба в крупном и особо крупном размере.

Я не буду повторяться, цитировать Брюса или Ричарда. Незачем. Понимающему и так достаточно.

Я лишь хочу сказать снова и снова - понятия "безопасность" и "доверие" ортогональны. Хотите вы этого, или нет.