С точки зрения криптографии
Осенью 2007 г. получила заметный резонанс в Сети любопытная работа израильского профессора-криптографа Ади Шамира (Adi Shamir, наиболее известный как "S" в криптосхеме RSA), посвященная опасностям "крипто-багов" в современных программах и чипах (cryptome.org/bug-attack.htm). Вместе с ростом объема кода в программах, усложняющейся оптимизацией операций и увеличением длины слова в процессорах, напомнил Шамир, становится все более вероятным появление ошибок в конечных продуктах, запускаемых в массовое производство. Примеров тому хватает - вроде случайно обнаруженного в середине 1990-х "бага деления" в процессорах Pentium или недавно найденной ошибки умножения в программе Microsoft Excel.
Однако, как показал Шамир, если какая-нибудь спецслужба обнаружит или сама тайно встроит хотя бы одну пару таких целых чисел, произведение которых в каком-нибудь популярном микропроцессоре вычисляется некорректно (даже в единственном бите низкого разряда), то последствия этой ошибки будут сокрушительными с точки зрения криптографии и защиты информации. Потому что тогда буквально любой ключ в любой криптопрограмме на основе RSA, работающей на любом из миллионов компьютеров с этим процессором, может быть взломан с помощью единственного сообщения специально подобранного вида. Кроме того, по заключению профессора, аналогичная атака может быть осуществлена против любых криптосхем на основе дискретных логарифмов и эллиптических кривых (где, кроме того, можно эксплуатировать еще и баги деления). Иначе говоря, невыявленный вовремя мелкий баг способен радикально подрывать стойкость современных криптосхем с открытым ключом.
Повторимся: неопровержимые факты о работе вражеских закладок, зашитых в чипы, пока не предъявил никто. Зато сплошь и рядом случаются истории несколько иного рода, тесно связанные с описанными выше гипотетическими угрозами.
В январе текущего года начался судебный процесс над двумя братьями-предпринимателями из Техаса, Майклом и Робертом Эдманами (Michael, Robert Edman), продававшими крупные партии компьютерного оборудования правительственным и военным ведомствам США. В списке покупателей упомянуты Военно-воздушные силы, Корпус морской пехоты, Федеральное управление авиации, Министерство энергетики, а также несколько видных корпораций военно-промышленного комплекса вроде Lockheed Martin. Столь внушительный список клиентов объяснялся в первую очередь заманчивыми ценами, которые предлагали братья Эдманы на совершенно новое оборудование от известных производителей. Однако, как выяснило следствие, в действительности Эдманы через своего партнера в Китае массово закупали чрезвычайно дешевое, так называемое noname-оборудование, а также лейблы и упаковочные коробки знаменитых брэндов вроде Cisco Systems.
Изготовленные клоны выглядели столь достоверно, что разницу никто не замечал. Прикрыли же этот весьма прибыльный для всех сторон бизнес лишь после того, как о происхождении оборудования узнало ФБР через свою агентуру в Китае.
Другой громкий скандал, разразившийся в США буквально на днях, выпукло отражает характерную особенность людей, находящихся на ответственной государственной службе. С одной стороны, они призваны заботиться о вопросах безопасности, а с другой - как и прочие нормальные люди - заинтересованы в личной прибыли, да еще получаемой сравнительно честным путем. Суть скандала - в истории вокруг новых электронных паспортов с "биометрическим" RFID-чипом. Такие паспорта, по действующим правилам, монопольно изготовляет правительственная типография GPO (Government Printing Office). Но американская промышленность сейчас не способна выпускать RFID, соответствующие международным стандартам для паспортов, поэтому обложки документов с запрессованными чипами поставляют надежные партнеры-корпорации из дружественных стран, голландская Gemalto и германская Infineon. Но только формально, на бумаге.
На деле же, как раскопали журналисты, все новые американские паспорта "с самой современной защитой" изготавливаются в Азии.
Производство RFID-чипов перенесено фирмами Gemalto и Infineon в Сингапур и Тайбэй, откуда изделия пересылаются в Таиланд. Тайцы из номинально голландской компания SmartTrac добавляют к чипам антенну и запрессовывают все хозяйство в единый модуль обложки. Здесь же уместно заметить, что в 2007 году компания SmartTrac Technology судилась в гаагском Международном суде с Китаем, обвиняя эту страну в краже своей запатентованной технологии для чипов электронных паспортов. Все эти обстоятельства, конечно же, прекрасно известны GPO, тем не менее они никак не отразились на процессе производства новых е-паспортов США, который приносит типографии весьма ощутимые прибыли. Перенос производства в Азию снизил закупочную стоимость бланков до 8 долларов, а Госдепартамент по-прежнему платит GPO по 15 долларов за штуку. Лишь за один прошлый год эта разница принесла около 100 млн. долларов "навара", хотя по федеральному статусу никакая коммерция и прибыль этой конторе вообще не положены.
Приведенные примеры, характерные для функционирования бюрократических организаций в любом государстве, наглядно демонстрируют, почему для критичных с точки зрения безопасности приложений желательно иметь чипы и компьютерное железо, которым можно было бы доверять. Но одно дело - хотеть в теории и совсем другое - иметь на практике.
На практике же корпорация Intel в прошлом году объявила о начале строительства своего нового большого завода, Fab 68, в Даляне, Китай. Несколько других американских компаний полупроводниковой индустрии, в частности Applied Materials и National Semiconductor, уже имеют производства в Китае. В целом на территорию США ныне приходится уже меньше четверти мирового производства чипов, причем цифра эта неуклонно снижается, а доля Китая, напротив, стремительно растет.
Существенно, что в Азию - ради общей конкурентоспособности на мировом рынке - переносятся производства по самым передовым технологиям. В результате Пентагон оказался в ситуации, когда для новейших электронных схем, управляющих ракетными системами наведения и перехвата, так называемые доверяемые чипы становится возможным производить в Америке лишь на основе очевидно устаревших технологий.