Магическая криптография или практическая магия?

Бежит ОМОН, бежит спецназ,
Стреляет на ходу.
Ах, как же не хватало вас
В семнадцатом году!
Народное творчество

Фергюсон Н., Шнаер Б.. Практическая криптография. Пер. с англ. М.: Издательский дом "Вильямс", 2005. - 424 с.

Появись эта книга лет пять назад, ночей бы не спал, пока не купил ее. Вот такая мысль возникла у меня, когда я взял с полки "Практическую криптографию" Нильса Фергюсона и Брюса Шнаера и прочитал оглавление. "Настоящая книга - это попытка сократить разрыв между теорией криптографии и ее применением в реальной жизни, а также научить разработчиков использовать ее для повышения безопасности систем". Я вполне соглашусь с данным утверждением. Более того, попытка довольно удачная. Конечно, книга эта - не справочник, а скорее декларация (и подробное описание!) методологии, которой придерживаются ее авторы. Этим она, безусловно, и будет интересна для специалистов-разработчиков и преподавателей соответствующих дисциплин.
В книге пять больших частей - вводная, объединяющая предисловие и первые три главы, часть "Безопасность сообщений", две коррелирующие между собой части "Согласование ключей" и "Управление ключами" и, наконец, "Разное".
Вводная часть интересна изложением взглядов авторов о месте криптографических методов в защищенной компьютерной системе. Избыточной кажется только третья глава, фактически представляющая собой очередное введение в криптографию (кажется, в России об этом не писал только ленивый). Кроме того, она совершенно не адаптирована к принятым у российских криптографов терминам: опять по тексту вместо "расшифрования" встречается "дешифрование", за что, замечу, в некоторых вузах сразу ставят двойку, равно как и за поле из четырех элементов GF(4). Стоит сказать также, что отсутствие у книги научного редактора плохо отразилось на ее качестве. Но об особенностях перевода - ниже.
Вторая часть - "Безопасность сообщений" - объединяет главы с 4-й по 9-ю. Здесь достаточно подробно рассмотрены вопросы конструирования и использования блочных шифров, кодов аутентичности сообщений и хэш-функций. Очень интересна глава 9 - "Практические реализации", повествующая о проблемах в программной реализации алгоритмов шифрования - то, что российские специалисты называют "инженерной криптографией" и что всегда является тайной за семью печатями.
Вторая часть (с 10-й по 16-ю главы) начинается с вопросов генерации случайных чисел и тоже представляет весьма большой интерес. Затем авторы практически повторяют хорошо изложенный в их же более ранних работах материал по арифметике больших чисел и алгоритмам RSA и Диффи - Хеллмана (которые, как известно, два человека!). Окончание второй части (глава 16) посвящено проблемам реализации и читается с неослабным интересом.
Третья часть предваряется весьма необычной темой - "Часы", в ней обращается внимание на значимость службы времени в криптографической системе. Далее весьма подробно и даже эмоционально рассмотрены различные аспекты инфраструктуры открытых ключей (PKI).
Часть "Разное" повествует о "политической криптографии" - о стандартизации и патентовании.
Итог - весьма неплохо написанная и чуть хуже переведенная книга, но, увы, всего лишь в ряду многих таких же неплохих. В аннотации читаем: "...уникальное в своем роде руководство по практической разработке криптосистемы, устраняя тем самым досадный пробел между теоретическими основами криптографии и реальными криптографическими приложениями". Интересно - чем это "тем самым"? Но это, похоже, уже не имеет отношения к криптографии... Это я опять о качестве перевода.
Я бы сказал так: "Хороший и полезный иллюстративный материал, позволяющий на основе зарубежного опыта и взывания к известным именам объяснить высокому руководству, для чего нужны (или уже были истрачены) такие деньги на построение действительно работающей криптографической системы".
И наконец, вывод - опять словами книги: "Как ни печально, превратить математические перспективы криптографической безопасности в реальную безопасность оказалось намного сложнее, чем можно было предположить".
А вообще-то хочется уже написать обо всем этом свою книгу и начать ее словами: "Не так это все делается, совсем не так...". Для российского криптографа главными при разработке являются все-таки требования, сформулированные уважаемой экспертной организацией.
И все-таки - думаю, что книжка "Практическая криптография" для экспертов и разработчиков должна быть настольной. Это чтобы сказать: мы сделали так-то, но что об этом пишут классики?! И с удивлением увидеть, что классики об ЭТОМ ничего не пишут.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=1284