Защита данных - польза, или вред?
Увидел в этом сообществе лекцию о названии «информационная безопасность», а раньше прочитал о ненадежности генераторов (псевдо) случайных чисел. Корреляция этих статей навеяла воспоминания.
Когда-то давно я работал я в военном НИИ. Тематика такая, что впору всех запереть, чтобы ни птичка, ни бит не вылетели. Один из отделов занимался компьютерным моделированием. Вычислительный зал конечно был защищен, но нормативам не соответствовала дистанция до забора. Поэтому все расчеты на ЭВМ считались открытыми. Разные ребята из спецотдела регулярно пытались за этим следить, изымали программы, распечатки и пр. Чтобы можно было работать, я сделал программу шифрования данных, которую и сейчас считаю не вскрываемой. Использовал генератор случайных чисел.
Криптостойкость обеспечивалась высокой разрядностью ЭВМ, так что период последовательности был значительно больше общей длины всех кодов. И тем, что кодируемые данные не были текстами, доступными для логического анализа. У программы были один недостаток: требовалась непрерывная синхронизация кодера и декодера. Решалась эта проблема очень просто, когда кодер и декодер были в одном месте. Сложнее было, когда программа использовалась для передачи данных по каналам связи. Но и в этом случае за год происходило не более одного случая рассинхронизации. Это все прелюдия. Программу применяли для шифрования не только данных, но и кодов исполняемых файлов, а главное, исходных программ. Только один человек имел доступ к ключам. И конечно, о ужас, однажды их утратил. Все программы, разработанные немалым количеством людей за немалое время, погибли. Сколько из этих людей пришли к выводу, что защита информация - это помеха их работе, не знаю.
Я читаю это так: "Мы сделали супер метод защиты информации. Но информацию просрали. А метод да, супер, несмотря на то, что не защищает нихрена. И теперь считаем, что защита информации ведет к потере этой информации." Бред?
Безмозглая защита данных - это да, это вред.
Один из постулатов ИБ - информация сохранена только тогда, когда она сохранена дважды...
Из классической триады "конфиденциальность, целостность, доступность" обеспечены, если я все правильно понял, только первая (точно) и вторая (и то - не факт).
Доступность информации не обеспечена.
Вывод - реализация не предусматривала варианта утраты ключей, при реализации непредусмотренного варианта все сломалось. Это говорит не о защите информации как таковой, а о конкретной реализации.
Дело в том, что информационная безопасность гораздо более широкая дисциплина, чем тут большинство пишут. Один из ключевых моментов - это как раз не защита от утечки данных, а обеспечение целостности информации и обеспечения механизмом защиты информации от утери.
Воу, это сильно...мораль: самый слабый компонент любой защиты - человек :/