Примером проблемы явной конфиденциальности
является шифрование текста письма, которое автор хочет уберечь от
прочтения посторонними. Сейчас появилось понимание того, что
нарушение конфиденциальности может произойти как при отправке
надежно зашифрованного сообщения, так и при отправке открытой
информации. Это связано, во-первых, с проблемой анонимности, а
именно с тем, что процесс пересылки неизбежно сопровождается
дописыванием некоторой служебной информации к тексту письма
(например, адреса отправителя на конверте), а во-вторых, — с
проблемой связности, состоящей в возможности сравнения нескольких
сообщений от одного отправителя и получения из этого сравнения
дополнительной информации. При этом важно, что явная
конфиденциальность обычно осознается, но проблемы неявной
конфиденциальности остаются за кадром. Рассмотрению этих проблем и
посвящена статья.
Виктор Достов
Слово «конфиденциальность» происходит от латинского
confidentio, что в переводе означает доверие. Так, передавая
информацию, мы доверяем носителю, в нашем случае Сети, определенные
данные, надеясь, что мы четко знаем степень их сохранности и круг
лиц, имеющих возможность получить к ней доступ. При этом явной, или
классической, задачей является определение того, какая информация
является критичной, и какие способы защиты следует выбрать.
Долгое время проблема конфиденциальности сводилась
к проблеме защиты передаваемой смысловой информации. Это
предполагало разделение информации на открытую, свободный доступ к
которой не приносил вреда отправителю или получателю, и закрытую,
или критическую, разглашение которой могло нанести сторонам
определенный ущерб. В узком смысле проблема допускает простое
решение: во-первых, вся смысловая информация шифруется; во-вторых,
используется нераскрываемый алгоритм. Нужно сказать, что понятие
нераскрываемости, к сожалению, обычно трактуется неправильно, а
именно: считается, что нераскрываемых алгоритмов не существует. В то
же время доказано существование принципиально нераскрываемых методов
шифрования (хотя и не всегда удобных практически), а кроме того
используются практически нераскрываемые алгоритмы. К последним
относятся, в частности, правильно написанные модификации стандартных
методов DES или ГОСТ, отличающиеся от обычных большей длиной ключа
(время раскрытия экспоненциально растет с длиной ключа и простое
увеличение длины до тысячи символов делает письмо нераскрываемым в
обозримом будущем). Я не буду останавливаться на понятиях правильно
написанной модификации или на соотношении раскрываемости как функции
длины ключа и длины сообщения — это подробно рассмотрено в любых
учебниках по криптографии.
Я не буду рассматривать также тот факт, что сама
отправка зашифрованного письма является поводом для повышенного
внимания к корреспонденции и корреспондентам. Вопросы маскировки
самого факта шифрования также достаточно подробно описаны в трудах
по стеганографии После того, как проблема закрытия содержательной
части стала тривиальной, внимание аналитиков привлекли аспекты
неявной конфиденциальности. Было осознано, что при передаче любой
информации, кроме закладываемых явно сведений, мы неизбежно сообщаем
о себе что-то неявно. Например, передача письма, не сводится к
передаче текста, а неизбежно сопровождается дополнительными
информационными потоками.
Примером может служить отправка обычного письма.
Чтобы письмо дошло, мы вкладываем его в конверт. При этом даже для
секретного письма, надписи на конвертах должны делаться открытыми —
их должна понимать публичная почтовая система. Кроме контролируемых
отправителем полей — адресов, некая информация добавляется им и
почтовыми службами неявно (штемпеля, почтовое отделение и т. п.)
Точно так же всю передаваемую по Сети информацию
можно условно разделить на смысловую и служебную. Последняя есть, по
сути, принадлежность самой Сети — пакеты, осуществляющие управление,
маршрутизацию, авторизацию и другие функции низкого уровня,
служебная информация в самих пакетах и т. п. Для пакетов этого типа
понятие конфиденциальности или критичности практически отсутствует.
С одной стороны, передаваемая в них информация по определению,
должна быть доступна произвольной запрашивающей стороне. С другой —
постоянно появляются новые методы взлома или атак, основанные на
перехвате или подделке таких пакетов. Иными словами, получив
электронное письмо, вы получаете не только текст, но и некоторые
конверты, в которые этот текст завернут. Они, как и обычный конверт,
содержат информацию о получателе. А еще больше информации — об
отправителе. Обычный почтовый клиент не показывает пользователю эту
информацию. Но есть и необычные клиенты. Этот аспект проблемы
достаточно понятен, так как является техническим.Ясно, что по письму
можно проследить, например, отправителя, в отдельных случаях — до
его телефонного номера. Собственно, этим проблема исчерпывается. К
сожалению, или к счастью, в последнее время были поняты новые грани
этой проблемы. Точнее, бурный рост телекоммуникационных технологий и
количества транзакций на одного пользователя привлек внимание к
проблеме связности и пониманию того, что грань между критичной и
некритичной информацией не является четкой. Существует несколько
активно обсуждаемых аспектов этого вопроса. Недавно в США интенсивно
дискутировалась проблема контроля доступа служащих компаний к
Интернету. Было достигнуто согласие в том, что компания, обеспечивая
доступ в Интернет, имеет право контролировать его использование, или
что рассматривание порносайтов может трактоваться как сексуальная
агрессия по отношению к окружающим. В то же время, такой контроль не
может быть избирательным и в руки администрации попадает полный
профиль Интернет-интересов ее сотрудников. Как она им распорядится?
Предлагаю представить себя на место директора фирмы, который по
результатам мониторинга использования Интернета обнаружил, что
ключевой программист регулярно посещает сервер www.job.net? Или же
главный бухгалтер не менее регулярно изучает сервер
www.new-citizenship.ci? Какие вы , то есть директор, сделаете
выводы?
Заметим, что сами действия сотрудника являются
безобидными и законными. Проблема состоит только в связности между
личностью и ее информационными потоками. Это, так сказать, внешняя
связность. Кто-то может возразить, что такая связность легко
осознаваема и контролируется и каждый для себя может решить, как и
какую информацию он может получать безопасно. Но на деле существует
еще внутренняя связность между информационными потоками, которую
контролировать гораздо сложнее. Впервые внимание к важности этой
проблемы применительно к телекоммуникациям привлек голландский
аналитик Чаум. Простым примером является мониторинг страховыми
компаниями платежей их потенциальных клиентов. Предположим, на
Интернет-сервер страховой компании пришел запрос на страхование
жизни. Известно, что у компании есть хорошая возможность, изучив
«плюшки» на компьютере клиента, выяснить круг его интересов и
потребностей. Удержит ли этика менеджеров компании от этого шага?
Скорее всего, нет. Страховой бизнес работает с очень малой маржей, и
любая информация о клиенте является бесценной. Так что если в
запросе клиент указывает, что он здоров и ведет спокойный образ
жизни, а из «плюшек» видно, что он периодически заказывает через
Интернет сердечные лекарства и изучает содержимое серверов по
экстремальному автовождению, то, вероятно, такая информация очень
сильно отразится на условиях страховки. Иными словами, наличие связи
между различными сторонами человеческой личности приводит к тому,
что, анализируя открытую информацию, мы можем восстанавливать по ней
совершенно неожиданные стороны личности.
Например, мониторинг посещаемости Интернет-магазина
в сочетании с информацией о географическом положении клиента и его
профессии позволяет достаточно точно оценить его доход. Такая
информация целенаправленно используется для активного маркетинга.
Легко, впрочем, предложить менее безобидные способы ее
использования, чем рассылка мусорной рекламной почты.
Сама личность, фамилия, адрес при этом, собственно,
не актуальны. Важно, что информационные потоки чем-то связаны —
почтовым адресом, IP-адресом, номером кредитной карточки — и эта
связь позволяет извлекать информацию и принимать решения.
Стоимость информации постоянно растет, и гигантские
деньги вкладываются в изучение технических психологических и прочих
аспектов этой проблемы. Исторически, такие исследования связывались
с органами госбезопасности, но, на мой взгляд, сейчас основной объем
информации такого типа сосредоточен в базах данных корпораций.
Разумеется, все описанные проблемы возникают не
только при работе в Интернете, но и при любой другой информативной
деятельности. Специфика Интернета состоит в большом числе
транзакций, легкости обработки информации и некой кажущейся
безобидности процесса Интернет-серфинга и Интернет-общения.
Наиболее остро эта проблема встала в области
электронных платежей. Вероятно потому, что каждый акт платежа
является осознанным и мотивированным, и извлекаемая из него
информация гораздо более достоверна, чем добываемая из случайных
кликов при блуждании по Сети. Наиболее известны труды Чаума по
системе анонимных платежей. Например, его система eCash позволяет
совершать платежи электронными банкнотами, которые, в отличие от
кредитной карточки, не привязаны к хозяину и не связаны между собой.
Исследования по верификации без нарушения
конфиденциальности ведутся и в других направлениях — от создания
серверов, обезличивающих доступ в Интернет до разработки протоколов
удаленного голосования. Будет ли это направление развиваться или
исчезнет, вытесненное новой игрушкой аналитиков и общественных
активистов? Вопрос этот в значительной мере психологический.
Определенная доля людей в силу склада личности чувствительна к
подобным проблемам и всегда будет создавать импульс к такой
деятельности. При этом большинство обычно или равнодушно к этим
проблемам, или считает, возможный мониторинг далеко не является
одной из острейших проблем современного образа жизни.
Автор, собственно, принадлежит к последней группе.
Работая в области удаленных платежей, я всегда считал, что свойства
анонимности или несвязности платежей для современного потребителя
вторичны по сравнению со скоростью расчетов или удобством доступа.
Это подтверждается и современной тенденцией развития этих систем. Те
же соображения, на мой взгляд, справедливы и для систем
обезличивания доступа в Интернет.
Но — в виде упражнения для ума — представьте себе,
что где-то есть компьютер, который собирает о вас всю информацию,
которую вы когда-то заслали в Интернет. Он знает, о чем вы писали
друзьям, как идет ваш бизнес, сколько вы зарабатываете, какие стихи,
картины и картинки вы предпочитаете, знает результаты ваших
психологических и интеллектуальных тестов, на какой машине вы ездите
и когда она ломалась. Компьютерная техника развивается гораздо
быстрее, чем растет население, и технологически такая система может
начать работу уже сейчас.
После того, как моих знакомых вызвали в отдел
безопасности одной крупной и солидной компании, в которой они
работали, для обсуждения факта размещения их резюме в базе данных
одного из Интернет-агентств по трудоустройству, я стал задумываться
над такими вопросами. Пока я не сделал из этого никаких выводов…