W pewnej znanej mi państwowej instytucji postanowiono poważnie podchodzić do bezpieczeństwa. Hasło do lokalnej domeny użytkownicy muszą zmieniać co 30 dni. Przypomnienie o konieczności zmiany hasła pojawia się na dwa tygodnie przed terminem. Nowe hasło musi być różne od dwudziestu poprzednich, mieć co najmniej 10 znaków, w tym choć dwie cyfry i choć jedną dużą literę. I nie, nie jest to agencja wywiadu. Ot - biuro przewalające papiery.
Teoretycznie tego typu podejście jest słuszne, redukuje szanse ewentualnego siłowego ataku. Praktycznie?
Praktycznie dzieje się to, czego można oczekiwać - ludzie klną, a hasła zapisują na karteczkach włożonych do szuflady albo wręcz przylepionych do monitora. A Ci bardziej ostrożni stosują stale to samo hasło, dopisując do niego kolejne liczby (Janeczek01, Janeczek02, Janeczek03, ...) - patent obmyślony przez jednego z pracowników niedługo po pojawieniu się opisanych zasad zarządzania hasłami i z zachwytem przyjęty przez koleżanki i kolegów. Jedni i drudzy wpisują hasło powoli i z kłopotami, więc ewentualne podejrzenie go przez kogoś z boku nie stanowi problemu.
Oczywiście - ironizuję pisząc o poważnym podejściu do bezpieczeństwa, mamy tu po prostu nieprzemyślane użycie niezbyt mądrze wymyślonych przez Microsoft opcji (stosunkowa popularność owego kretynizmu budzi we mnie podejrzenia, że te 30 dni są jakąś wartością domyślną). Ale - niezależnie od przyczyn - mamy przykład, jak teoretyczne zwiększenie bezpieczeństwa systemu, w praktyce doprowadziło do dokładnie odwrotnych efektów.
Bo systemów zabezpieczeń nie można projektować zapominając, że będą używane przez ludzi!
To raczej śmieszny przypadek. Teraz o poważniejszym. O kryptografii asymetrycznej, certyfikatach, podpisach cyfrowych. O technologii, na której bazuje bezpieczeństwo transakcji internetowych, poufność masy różnorodnych danych, weryfikacja autentyczności serwisów. O technologii, która w formie podpisu elektronicznego ma wcześniej lub później objąć znaczną część rozliczeń obywateli z państwem i między sobą. O technologii, która jest bardzo wyrafinowana technicznie i teoretycznie wysoce bezpieczna.
Ilu informatyków może uczciwie powiedzieć, że dobrze rozumie, jak te systemy działają?
W mojej ocenie - bardzo niewielki procent. Nieco większy potrafi mechanicznie wykonać sekwencje zagadkowych poleceń prowadzących do - np. - instalacji poprawnego certyfikatu dla serwera WWW, czy poczty, acz nawet przy tym problemy są bardzo częste. A mówię cały czas o informatykach.
Dla szarego człowieka X.509 stanowi zagadkę całkowicie abstrakcyjną i w żaden sposób niepojętą.
W czym problem? Zapakuje się to w kartę chipową, doda oprogramowanie, nie ma potrzeby, by Kowalski rozumiał co się tam dzieje.
Ano - problem jest. Co z tego, że złamanie klucza prywatnego zajmuje ileśtamset lat, skoro tenże klucz niejeden administrator wyśle mailem do supportu, albo zostawi na publicznie dostępnym dysku. Co z tego, że certyfikat kwalifikowany jest na karcie kryptograficznej, skoro odpowiednio podpuszczony użytkownik podpisze nim wszystko co mu się podsunie, nieraz nawet nie wiedząc, że coś podpisał. Pojęcie hasła jest jasne i zrozumiałe, a mimo to masy ludzi ciągle łapią się na najprymitywniejsze odmiany phishingu!
Parę lat temu jeden z banków (bodajże Śląski) wykorzystywał certyfikaty do autoryzacji dostępu. Ponieważ gros klientów nie miała pojęcia, co z tym robić, w domyślnym trybie ... certyfikaty składowano na serwerze w banku, a dostęp do nich chroniono zwykłym hasłem. Bardzo miła ilustracja zagadnienia - owo hasło było oczywiście jedyną faktyczną formą ochrony, certyfikatów mogłoby nie być, ale nie przeszkadzało to wielu osobom opowiadać o zaletach autoryzacji certyfikatami.
Nie wiem, czy doprowadzenie kryptografii asymetrycznej do powszechnie zrozumiałej formy, jest w ogóle możliwe. Widzę, że nie wydaje się to być dla nikogo priorytetem. Sprzedaż certyfikatów SSL już jest złotą żyłą - roczna opłata za durny certyfikat dla witryny internetowej (którego wystawienie jest dla dostawcy operacją równie złożoną, jak np. zarejestrowanie użytkownika forum) bywa porównywalne z kosztami rocznego hostingu tejże witryny. Sprzedaż podpisów elektronicznych takąż żyłą niedługo będzie (tu dochodzą jeszcze monopole ustawowe). W obu wypadkach starannie wybrano rozwiązania techniczne wymuszające stałą zależność od wybranych firm, a co za tym idzie - regularne opłaty (systemy sieci zaufania typu PGP/GPG też są trudne, ale jednak zdecydowanie zrozumialsze niż X.509).
Jakoś nie wierzę w sukces podpisu elektronicznego.