Цифровая подпись
 
   Переход на безбумажный документооборот, интернет-платежи и онлайн-переписку породил ряд проблем. Одной из главных является замена стандартной подписи цифровым вариантом, аналогичным по своей правомерности традиционному. Во многих случаях он является единственным средством доказательства подлинности и целостности передаваемого по Сети документа. Среди важных свойств собственноручной подписи можно отметить ее аутентичность, неподделываемость, непереносимость, а значит - неоспоримость и неизменность заверенного документа.
   Для создания цифровой подписи (ЦП), обладающей всеми вышеперечисленными признаками, используются три основных метода. В первом случае электронный документ шифруется симметричным алгоритмом, а адресат и отправитель документа одинаково доверяют некоему третьему лицу. Под авторизацией здесь понимается шифрование документа секретным ключом и передача его (ключа) посреднику. Во втором случае используются асимметричные алгоритмы, и под подписанием документа понимается шифрование ключом отправителя. Наконец, в третьем случае, самом распространенном, шифрование окончательного результата обработки документа хэш-функцией производится при помощи симметричного алгоритма. Есть и ряд других схем построения ЦП, применяемых для решения специфических задач (например, групповая подпись).
   В 1991 году в США появился федеральный стандарт цифровой подписи - DSS (Digital Signature Standard), в основе которого лежит алгоритм DSA. В России тоже разработан стандарт на процедуры выработки и проверки электронно-цифровой подписи - ГОСТ Р 34.10-94. Описанная в нем схема ЦП во многом напоминает DSA. Многие программные приложения, работающие с открытыми сетями, имеют встроенные средства ЦП (например, почтовые клиенты). Кроме того, в настоящее время имеется большой выбор прикладного софта, позволяющего реализовать технологию для различных нужд - от частных до коммерческих.
 
Приватный комплекс
 
   Но бросим бесплодные попытки объять необъятное и остановимся на нескольких наиболее распространенных утилитах. Выбор рынка редко оказывается случайным, а потому рассматриваемые продукты можно назвать золотой серединой между надежностью/функциональностью и ценой.
 
   Криптотехнология PGP (Pretty Good Privacy), использующая асимметричное шифрование, появилась в 1991 году и стала чрезвычайно популярной благодаря своим богатым возможностям и свободному распространению. В настоящее время доступны для скачивания исходники восьмой версии (последняя - девятая). PGP-софт в основном используется для шифрования электронных писем, передающихся по открытым каналам связи. К тому же технология гарантирует аутентичность сообщения - невозможность его отправки за чужой подписью. Программная линейка, начиная с девятой версии, претерпела некоторые изменения.
   Так, бесплатная утилита PGP Freeware обладает минимальной конфигурацией, которой, впрочем, вполне достаточно для «домашних» условий. В продукт включено два базовых компонента: PGPkeys (менеджер ключей) и PGPmail (средство шифрования/подписания/ уничтожения данных). Третий не менее важный элемент - PGPdisk для создания зашифрованного файла-контейнера, о котором мы поговорим чуть ниже, - увы, отсутствует. Кстати, если не оплатить «более профессиональные» версии в течение месяца, то их функциональность будет как раз соответствовать PGP Freeware.
   PGP Desktop Home можно отнести к категории SOHO. Помимо базовой функциональности утилита имеет плагины для почтовых клиентов и ICQ, поддерживает в качестве носителей ключей смарт-карты. Кроме того, она включает в себя PGP Virtual Disks (для создания томов, содержание которых кодируется, если они не используются) и ограниченный вариант PGP Satellite Proxy (не умеет работать с почтовыми протоколами MAPI, NAPI[Проприетарные протоколы для корпоративных почтовых сетей]). Это приложение обойдется в 105 евро.
   «Венец творения» для рабочих станций - PGP Desktop Professional - вдобавок к вышеописанным возможностям имеет модуль Whole Disk, поддерживающий комплексное шифрование всех жестких дисков, съемных носителей и операционной системы, и полную версию PGP Satellite Proxy. В это приложение включен и интерфейс для работы с серверным комплексом PGP Universal. Калькулятор, подсчитывающий цену программы в зависимости от комплектации, доступен на www1.pgpstore.com.
   Инструмент для централизованного управления корпоративной безопасностью - PGP Universal - рассчитан на организации со штатом от 25 пользователей до 50 тысяч (без кластеризации). «Универсальный» вариант работает автономно и формирует политику безопасности в соответствии с изначально заданными критериями (например, шифрование на сервере либо на машинах пользователей). Система имеет три модификации: 100, 200, 500. В первом случае комплекс используется как шлюз для почтового трафика и автоматически шифрует/дешифрует и подписывает проходящие письма. В режиме 200 система автоматически осуществляет политику безопасности для всех установленных на рабочих станциях PGP Desktop или PGP Universal Satellite, а режим 500 совмещает оба варианта. Версия 200 с Whole Disk стоит 159 евро.
   Помимо вышеописанных приложений можно купить и отдельные компоненты (например, тот же WholeDisk). Есть и версия для КПК - PGP Mobile, работающая под управлением Windows CE и Palm OS и обеспечивающая базовую функциональность.
 
Шифрование в ZIP-архивах
 
   Долгое время возможность парольной защиты в популярном архиваторе WinZip можно было назвать скорее маркетинговым ходом, нежели действительно полезной функцией. В Интернете на каждом шагу можно было найти специальные программы, подбирающие пароль в течение нескольких часов. Ситуация изменилась лишь год назад, с выходом последней, девятой версии архиватора. Тогда в WinZip появилась поддержка 128- и 256-битного шифрования по алгоритму Rijndael. Процедура кодирования осталась столь же простой, что и раньше. Требуется только выбрать степень шифрования и дважды ввести пароль. Другое дело, что многие пользователи по-прежнему работают со старыми версиями программы и до сих пор питают иллюзии по поводу защищенности своих архивов.
 
Контейнерные мастера
 
   На рынке криптософта полным-полно утилит для создания на винчестере виртуальных прозрачно зашифрованных дисков-контейнеров, в том числе вышеупомянутая PGPdisk. С ними можно работать как с обычными дисками: совершать операции с файлами, устанавливать ПО и т. д. Контейнер, несмотря на свои особенности, остается файлом, а потому может быть скопирован или перемещен на другой физический носитель, например CD или DVD.
   Подобное шифрование может оказаться полезным
   при работе за одним компьютером нескольких пользователей для разграничения доступа;
   при работе в открытой сети, во избежание хищений данных троянами;
   для защиты данных, хранящихся в ноутбуке, в случае его потери или кражи;
   при необходимости работать с одними и теми же файлами на работе и дома.
   Одним из самых известных продуктов такого типа является пакет утилит от компании Jetico - BestCrypt. Процесс шифрации/дешифрации происходит в фоновом режиме, и пользователь не ощущает разницы при работе с обычным и зашифрованным диском, однако последний, если понадобится, может одним кликом превратиться в закрытый для посторонних файл. Среди утилит можно отметить программу для создания «невидимого» контейнера, который невозможно обнаружить, а также приложение для шифрования своп-файла, хранящего временные данные. Кроме того, в BestCrypt есть утилита BCWipe, удаляющая файлы без возможности восстановления.
   Из приятных мелочей отметим настройку автоматического закрытия созданных дисков, защиту контейнера от случайного удаления (парольное подтверждение) и интеграцию с Проводником Windows. Для разработки новых модулей BestCrypt создан специальный комплект, содержащий исходники программы. С сайта Jetico его можно скачать бесплатно, а вот сам софт обойдется в $90 за лицензию ($60 за BestCrypt + $30 за BCWipe).
   У отечественных пользователей также популярна схожая по функциональности (вплоть до гарантированного удаления файлов) программа «Индис» от российской компании «ЛАН Крипто». Аналог конвейера - цифровой сейф, то есть область диска, доступ к которой закрыт методом трехуровневой защиты. Все файлы в сейфе зашифрованы; сам сейф можно открыть с помощью ключа, который находится под паролем. Вдобавок для лучшего сокрытия данных сейф можно заполнить цифровым «мусором». Компания также предлагает всем желающим ознакомиться с алгоритмом защиты информации и математическим обоснованием надежности. Сейф может отображаться и как логический диск, и как каталог. Кодирование, как и в предыдущем приложении, выполняется непосредственно в процессе поступления данных на «диск». Предусмотрена и политика разграничения доступа. Доверенным лицам владелец цифрового сертификата, удостоверяющего его права, может выдать ключи или на полноценное управление закодированными данными, или только на чтение. Еще одно достоинство программы может оказаться полезным: разработчики утверждают (и в доказательство приводят соответствующие ссылки), что средства защиты, созданные в «ЛАН Крипто», полностью удовлетворяют действующему законодательству РФ, а потому не требуют получения специальных лицензий или разрешений.
 
Теоретическая стойкость
 
   Стандартный показатель надежности алгоритма - его теоретическая стойкость. Она определяется только длиной используемого ключа. Известно, что созданное в 1995 году аппаратное устройство (стоимостью в $1 млн.) для атаки brute force на ключ длиной 128 бит, сумело бы взломать его за 1018 лет. Однако здесь нужно принять во внимание поступательное движение информационных технологий. Тот же пресловутый закон Мура гласит, что за пять лет вычислительная мощность возрастает на порядок. Таким образом, аналогичное устройство, разработанное в 2005 году, справится с задачей за 1016 лет.
   Платформу для оценки стойкости ключа в Сети предоставляет статистика проекта распределенных вычислений distributed.net. На реализацию последнего задания - взлома ключа длиной 64 бита - ушло около 4,8 года. Вычислительная мощность всех компьютеров проекта была эквивалентна 50 тысячам процессоров AMD Athlon XP с тактовой частотой 2 ГГц. Следовательно, на взлом ключа длиной 128 бит потребуется в 264 (1019) раз больше времени или ресурсов.
 
Наборы шифровальщика
 
   Если пользователь обеспокоен безопасностью данных, то, скорее всего, частные решения, позволяющие защитить конфиденциальную информацию «на местах», покажутся ему недостаточными. Возможно, поэтому большинство разработчиков старается предлагать не одну программу, а комплексы приложений. Имея в своем составе средства для взаимодействия друг с другом, такие программы обеспечивают более полную защиту информации. Раз уж был упомянут софт от «ЛАН Крипто», в качестве первого примера приведем разработки именно этой компании.
   Помимо «цифрового сейфа» в линейке продуктов имеется софт для создания «цифровой папки» («Ортис») и «цифрового конверта» («Веста»[Предназначенный для безопасной пересылки писем по открытым каналам связи]). Есть и многофункциональное ПО. В частности, решение для комплексной защиты «Криптоофис», состоящее из трех компонентов: встраиваемого в почтовые клиенты[Почти все имеющиеся на рынке криптоплагины для почты работают с одним и тем же набором клиентов: MS Outlook, Outlook Express, Lotus Notes, The Bat!, MS Exchange] средства для кодирования и подписывания сообщений; плагина Word для защиты электронных документов и инструмента шифрования/подписывания любых файлов через Проводник. Администраторская версия комплекса стоит $149, пользовательская - $59. Есть решения для работы с электронной цифровой подписью (ЭЦП) - «Нотариус», защищенным документооборотом («Веста»+ЭЦП) - «Криптобанк» и цифровыми сертификатами - «Центр сертификации» (может пригодиться при работе в сфере е-коммерции или среде клиент-банк).
   Продукция другой компании, SecurIT, по функциональности во многом повторяет софт других разработчиков, однако в ее коллекции имеются и свои бриллианты. Пристальный интерес компании вызывает почти не затронутая конкурентами проблема защиты резервных копий на магнитных лентах. Проблема кажется специфической, а между тем такие бэкапы делают многие предприятия. И совершенно бессмысленным кажется создавать «непробиваемую» защиту на сервере, тогда как копии хранящихся на нем данных будут находиться в свободном доступе в том же офисе. Система Zbackup позволяет в фоновом режиме шифровать все поступающие на ленту данные и расшифровывать во время чтения копий. При этом ключи доступа хранятся на смарт-картах.
   Линейка StrongDisk от «Физтех-софта» привлекает в первую очередь обилием встроенных возможностей. То есть функции у StrongDisk Pro/Server[Подробное описание версии StrongDisk можно найти в статье Сергея Голубева «Особенности национального администрирования»] вроде бы стандартные, но помимо обычного набора носителей ключа можно использовать биометрические параметры. Для того чтобы сбить злоумышленника с толку, предлагается технология «Ложные диски», а помимо своп-файла можно зашифровать папку с временными файлами. Также отмечу, что резервное копирование производится автоматически, а размер контейнера увеличивается по мере добавления новых файлов (так называемая технология «Резиновый диск»). Версия Standard стоит 3930 рублей.
   Упомяну также «мобильную» разработку - StrongDisk CE, предназначенную для КПК и смартфонов, работающих под Windows Mobile. Она позволяет зашифровать почту, документы, персональные данные, адресную книгу и даже приложения. Интересно, что кроме стандартного довода о пользе криптософта - защита данных при краже или потере наладонника - разработчики приводят на своем сайте еще один аргумент (цитирую): «…иногда на ваш смартфон или КПК посягают друзья и члены вашей семьи, чем ставят вас в неловкое положение, потому что каждый имеет право на информацию частного характера». А если данные зашифруешь, то вроде бы и не отказываешь, и бояться не приходится, что жена письма любовницы увидит. Однако такое удобство обойдется в 1200 рублей.
 
Последняя шифровка
 
   Потратив совсем немного времени на посещение хакерских конференций, я обнаружил взломанные версии доброй половины упомянутых в этом обзоре программ (подчеркну - программ, но не алгоритмов, которые в них используются). Нет, я не собираюсь тратить журнальную площадь на рассуждения о вреде пиратства. Но не забывайте, что качество и долговечность дома совершенно не зависят от того, построен он из купленного кирпича или украденного. А вот вешать на дверь замок, который неизвестная личность подарила вам в темной подворотне, да еще снабдила набором сделанных ржавым напильником ключей, неразумно. Хотя бы потому, что ключей может оказаться гораздо больше, чем вы предполагали. Так что лучше скачать разные версии каждой утилиты, выбрать самую удобную и просто симпатичную и… заплатить. Если, конечно, вас интересует результат.
   Автор благодарит Алексея Раевского, генерального директора SecurIT, за помощь в подготовке статьи.
 

ОГОРОД КОЗЛОВСКОГО:Italian job

 
   Поскольку предмет, выбранный для описания на сегодня, произведен фирмой Epson, он и сработан в Японии. «Итальянская же работа» - это дизайн: не собираясь выпускать из рук пальму первенства в части электроники и хайтека, японцы (во всяком случае, некоторые) начинают признавать, что по части галстуков, башмаков и всяческого прочего дизайна вообще - «впереди планеты всей» именно итальянцы, - и по принципу: «отец-то мог, да бык - лучше», стали заказывать дизайн некоторых своих новинок именно в Италии. Нынешняя новинка называется «Домашний проектор EMP-TWD1», принадлежит к известному семейству Dreamio (заметьте, тоже совершенно итальянское словцо, - по звучанию что-то вроде «mamma mia!») и, кроме дизайна, отличается еще несколькими вкусными приятностями.
   Однако, коль уж начали с дизайна, прежде чем поговорить о приятностях, закроем «итальянскую» тему. По первому взгляду EMP-TWD1 примешь скорее за какой-нибудь сложный и дорогой медицинский прибор или, на худой конец, стильную микроволновку: правильный параллелепипед с чуть скругленными углами, чтоб случайно не пораниться, эмалированно-белого цвета, управляющие кнопки притоплены внутрь, а два динамика (между прочим, от JVC и с максимальным для такого скромного размера качеством воспроизводимого звука) по углам затянуты акустической тканью так точно подобранного бледно-серого цвета, что кажутся не функциональными, а декоративными элементами. Пожалуй, единственное «темное пятно» в этом «светлом царстве» (и то - при включении начинающее оживленно светиться светло-голубыми циферками и буковками) - прямоугольничек DVD-дисплея на…
   И тут я уже затрудняюсь сказать, на какой именно грани: фронтальной или, напротив, тыловой. По привычке фронтальной гранью проектора мы считаем ту, что обращена лицом к экрану и включает в себя объектив, - но у EMP-TWD1 к ней подведен (белый же) питательный провод, что - по другой, но не менее крепкой привычке - делает эту грань скорее тыловой. А на противостоящей этой грани панели как раз расположен загрузочный DVD-лоток, - стало быть, получается, фронтальная именно она. Впрочем, управляющие органы - исключая кнопку для выдвижения DVD-лотка, которая (как и гнездо под наушники) естественным образом расположена рядышком с самим лотком, - лежат на верхней грани, а пиктограммы и надписи повернуты к грани «лотошной».
   Вся эта путаница возникает из эпсоновской идеи позиционирования устройства: оно не должно упираться в стену ни фронтально-задней, ни задне-фронтальной гранью, а должно стоять на журнальном столике, перед диваном или креслом, и бросать картинку на висящий на стене экран. Поскольку, кроме питательного провода, никакие другие не необходимы, такое расположение вполне вообразимо. Анечка Караулова, не поленившаяся на себе притащить ко мне (четвертый этаж без лифта!) это чудо прогресса (сказать по правде, не неподъемно тяжелое, несмотря на эмалированный металл корпуса: около семи килограммов), рассказала о приятеле, который любит, чтобы главная комната его квартиры была максимально пуста, - и вот как раз таким приятелям EMP-TWD1 будет в самый раз: достал из стенного шкафа, поставил на столик, включил в розетку, посмотрел кино - и убрал обратно в шкаф.
   Когда Анечка предложила мне EMP-TWD1 для тестирования, я стал отбрыкиваться: ну подумаешь, встроили в проектор DVD-плейер! Сегодня, когда цены на DVD-плейеры даже в рознице упали ниже полусотни баксов, велико ли нововведение - встроить его в телевизор, в проектор, в плазменную или идкокристаллическую панель? Равно, скажем, как и TV-тюнер! Тюнеры - так уже давным-давно встраиваются почти в каждое устройство отображения видео. К тому же, - сказал я Анечке, - и пяти месяцев не прошло, как я опробовал и описал в «Огороде» «1000 мелочей»аналогичное устройство от главных конкурентов, от Нewlett-Рackard: HP ep9012 Instant Cinema. - Ладно! - сказала Анна Юрьевна. - Можешь не писать!! Но поглядеть на него ты - должен!!!
   Поглядел, - и написать все-таки захотелось. Во-первых, благодаря этому самому итальянскому дизайну. Вещь и впрямь столь приятна по внешности, что просто не хочется выпускать ее из дому.
   Во-вторых, потому что в EMP-TWD1, в отличие от HP ep9012 Instant Cinema, стоит не одна микрозеркальная матрица, а три жидкокристаллические, изготовленные по технологии P-Si, дающей весьма приличную глубину цвета (во всяком случае, я на градиентных заливках границ не заметил). Что лучше - DLP или LCD, - сказать не берусь, есть поклонники и у той и у другой технологии, - однако поклонники LCD получают еще одну прелестную игрушку.
   В-третьих (и очень-очень приятных!), EMP-TWD1 позволяет то, что раньше позволяли только дорогие проекторы: аппаратно (то есть не пересчитывая и не перерисовывая картинку на матрице [что, впрочем, возможно тоже], а физически сдвигая матрицу вместе с линзовой системой вверх-вниз и влево-вправо) корректировать световой поток в довольно широких пределах: 25% по горизонтали и 50% - по вертикали. Это значит, что вам совсем не обязательно ставить проектор строго посередине экрана, а - в определенных пределах - свободно, и двумя колесиками подвигать изображение на нужное место, - причем безо всяких искажений и серых трапеций, которые неизбежно появляются при так называемой «коррекции трапецеидальных искажений».
   Впрочем, сравнительно с HP ep9012 Instant Cinema есть у EMP-TWD1 и несколько недостатков.
   Первый, скажем так, малосуществен: отсутствие встроенного сабвуфера. Однако вместо него есть гнездо для подключения сабвуфера (опционально можно приобрести активный сабвуфер от того же Epson’а), и одному богу известно, что предпочесть: более тяжелый и громоздкий аппарат с заведомо скромным сабвуфером внутри или более компактный, с возможностью подключить тот сабвуфер, который придется вам по сердцу и по карману. Что касается пятиканального звука, - и в том комбайне, и в другом подключить соответствующую систему можно через цифровой оптический выход.
   Второй несомненный недостаток EMP-TWD1 - логический размер матрицы. У HP ep9012 Instant Cinema он 800х600, что (во всяком случае, по вертикали), конечно, не покрывает широкоэкранный DVD-кадр, но это все-таки больше, чем 854х480: сюда ни одна PAL-картинка не уместится и по вертикали, а горизонтали все равно не хватает до минимально необходимых 1024 пикселов. Разумеется, когда вы смотрите кино в не совсем затемненной комнате, уловить глазом эту разницу в разрешении и качестве downsampling’а довольно трудно, но совсем не обратить на нее внимания все же нельзя.
   Однако разница в цене между HP ep9012 Instant Cinema и EMP-TWD1, достигающая (по price.ru) пятисот долларов (цены на EMP-TWD1 начинаются от 1380 баксов), возможно, сгладит обе эти неприятности. Впрочем, абсолютная величина обеих цен снова приятно радует: получить вполне приемлемую картинку с метровым-полутораметровым размером диагонали экрана можно, оказывается, заметно дешевле, чем при выборе любой технологии телевизора с экраном подобных размеров.
   Ну и на закуску - о парочке мелких мелочей, каждая из которых сама по себе стоит недорого, но в качестве «бонуса» вполне способна порадовать.
   Мелочь первая: кнопки дистанционного пульта мало что светятся в темноте, - впервые в моей практике светятся не стандартно зеленоватым, а модно-голубоватым светом.
   Вторая: в числе кнопок управления на крышке устройства есть одна со странной пиктограммой: кофейной чашечкой. Первым делом она, конечно, вызывает ассоциацию со старым анекдотом про CD-лоток, принятый наивной пользовательницей за подставку для чашечки кофе, - при внимательным же исследовании начинаешь понимать, что кнопка «coffee break» останавливает воспроизведение фильма и одновременно посылает на экран яркий белый свет, который, отбиваясь экраном, создает в комнате приятный полумрак, достаточный для того, чтобы не промахнуться кофейником мимо чашки. То есть вместо того, чтобы включить бытовую лампочку за десять рублей, для подсветки кофепития можно использовать и двухсотдолларовую ртутную.
   Есть и пара мелочей отрицательных: на верхней, «управляющей» панели EMP-TWD1 я не обнаружил пятипозиционного джойстика, позволяющего путешествовать по меню DVD-дисков, выбирая звук, извлекая бонусы и все такое прочее. Все эти удовольствия дарит только дистанционный пульт, без которого - при проекторе-проигрывателе, расположенном перед диваном, на журнальном столике, - можно было бы прекрасно обойтись…
   Вторая «заусеница» - залоченность EMP-TWD1 на «русской» зоне. Скорее всего, розничные продавцы позаботятся о разлочке, но даже если и не позаботятся, - покупатель, чьи потребности в DVD-кино EMP-TWD1 сумеет удовлетворить в достаточной для довольства степени, вряд ли - при сегодняшнем буме местного выпуска DVD-фильмов - обнаружит в своей видеотеке диски первой или второй зоны.
   Забавно: при росте количества всяческой электроники в одной комнате рано или поздно начинаются пересечения по управляющим IR-сигналам. Некоторые производители уже начали это понимать, и, например, мой DVD-рекордер от Pioneer, DVR-520H, уже предоставляет возможность выбрать один из трех разных наборов управляющих сигналов. EMP же TWD1 обнаружил «пересекаемость» с подаренным на минувший день рождения маленьким LCD-телевизором Miyota: нажатие практически любой кнопки на пульте EMP-TWD1 приводило к включению телевизора, причем - непременно со звуком!
   Нет, давно уже настала пора переводить дистанционное управление бытовой электроникой в радиодиапазон!
   Что касается параметров EMP-TWD1 - уровня освещенности, контрастности и прочего, - для домашнего, не слишком придирчивого пользования они более чем достаточны, даже чуточку чрезмерны. Но если кто-то интересуется конкретными цифрами, - то все они приведены здесь: