Доверенные третьи стороны — это слабое место в системе безопасности
Ник Сабо
Впервые опубликовано в 2001 году
Вступление
Коммерческая безопасность заключается в решении практических проблем, связанных с деловыми отношениями, такими как приватность, честность, защита собственности и определение нарушения условий договора. Слабое место в системе безопасности представляет собой любую уязвимость, увеличивающую риск нарушения вышеуказанных целей. Этот реальный взгляд на безопасность подразумевает, что проблема не исчезнет лишь потому, что разработчик не учитывает ее. При разработке протокола безопасности, применение или криптографическое предположение о «доверенной третьей стороне» (trusted third party, TTP) или «доверенной вычислительной базе» (trusted computing base, TCB), контролируемой третьими сторонами, предполагает слабое место в системе безопасности данной разработки. Таким образом, проблема безопасности должна будет решаться другими методами.
Если риски и издержки, связанные с институциональными альтернативами TTP, не были учтены при разработке протокола, конечный протокол в большинстве случаев получится слишком дорогим или рискованным, чтобы быть практичным. В случае если протокол докажет обратное и окажется практичным, его успех возможен лишь после того, как будет приложено много усилий к устранению проблем безопасности в TTP. Криптографические предположения касательно TTP обуславливают наибольшие издержки и риски, связанные с протоколом безопасности, в то время как устранение слабых мест в системе безопасности приносит больше всего выгоды и прибыли.
В итоге мы предлагаем методологию разработки протокола безопасности, в которой самые рискованные и дорогие аспекты — доверенные третьи стороны — разработаны параллельно с протоколами безопасности, использующими их. Минимизация затрат и рисков нацелена на TTP, а не на сами протоколы безопасности, которые должны быть разработаны в соответствии с ТТР, минимизирующими издержки и риски.
Мы также кратко характеризуем и ссылаемся на исследования и применения в области механизмов безопасности, которые существенно уменьшают расходы и риски, связанные с использованием доверенных третьих сторон, посредством распределения автоматизированных ТТР между несколькими сторонами, из которых лишь часть должна действовать надежным и заслуживающим доверия способом, чтобы весь протокол был надежным.
Новые доверенные третьи лица — дорогие и рискованные
Автор этой работы имеет профессиональный опыт в применении TTP, предположения о которых были допущены ранними сторонниками криптографии с применением открытых ключей. Эту ТТР назвали «центром сертификации» (certificate authority, CA) и вверили ответственность за удостоверение «личности» участников (здесь я рассматриваю расходы, связанные с ТТР; такие альтернативы, как сеть доверия в PGP (Pretty Good Privacy's Web of Trust) и простая инфраструктура открытых ключей (Simple public key infrastructure, SPKI) подробно рассмотрены в других работах).
Центр сертификации оказался наиболее дорогостоящим компонентом этой централизованной инфраструктуры открытых ключей (public key infrastructure, PKI). Проблема становится еще серьезнее, когда необходимость в TTP, установленная разработчиками протокола, переводится в требование TTP посредством таких PKI стандартов, как уровень защищенных cокетов (Secure Socets Layer, SSL) и безопасные/многоцелевые расширения интернет-почты (Secure/Multipurpose Internet Mail Extensions, S/MIME). TTP, которой должны доверять все пользователи протокола, становится арбитром, решающим кто может использовать протокол, а кто нет. А это значит, к примеру, что для запуска безопасного SSL веб-сервера или участия в S/MIME необходимо получить соответствующий документ от центра сертификации, которому доверяют все стороны. Наиболее ранний и популярный пример — Verisign. У них была возможность требовать несколько сотен долларов за сертификаты конечного пользователя, что явно выше той цены в несколько долларов (заложенной в стоимость программного обеспечения конечного пользователя) за сам код протокола. Бюрократический процесс подачи заявок на получение и возобновление сертификатов занимает гораздо больше времени, чем настройка параметров SSL, а процесс идентификации центра сертификации требует раскрытия гораздо большего количества данных, чем сам протокол SSL. Оценка акций Verisign достигла уровня десятков миллиардов долларов США (даже до того, как компания вошла в другой TTP-бизнес, систему доменных имен (Domain Name System, DNS) в интернете, приобретя Network Solutions). Как? Найдя решение — на самом деле абсолютно любое решение, так как предлагаемая нами система безопасности довольно сырая и дорогостоящая по сравнению с криптографическими компонентами PKI — для кажущегося безобидным криптографического предположения о «доверенной третьей стороне», сделанного разработчиками протоколов открытых ключей для электронной почты и интернета.
Некоторые дополнительные проблемы, связанные с центрами сертификации, рассмотрены здесь.
DNS в интернете — еще один пример высоких затрат и рисков, связанных с ТТР. Эта небольшая часть стека протоколов TCP/IP является причиной большинства споров и опасений. Почему? Это одна из немногих областей, которая зависит от централизованной иерархии TTP, а не от протокольных переговоров между отдельными интернет-узлами. DNS также является единственным компонентом интернета, который с наибольшей вероятностью может потерпеть неудачу, даже если его имена не оспариваются и не подделываются.
Высокие затраты на внедрение TTP объясняются главным образом тем, что традиционные решения безопасности, которые должны применяться в случаях, когда сам протокол уже не задействован, требуют высоких расходов на персонал. Чтобы узнать больше о необходимости и преимуществах этих традиционных решений в области безопасности, особенно о контроле персонала при внедрении TTP-организаций, ознакомьтесь с эссе автора о групповом контроле. Риски и расходы, которые несут пользователи протокола, преимущественно вызваны ненадежностью TTP — DNS, и центры сертификации являются двумя равносильными источниками распространения ненадежности и разочарования в интернете и PKI соответственно.
Существующие доверенные третьи стороны представляют собой ценность
Такие компании, как Visa, Dun & Bradstreet, Underwriters Laboratories соединяют не доверяющих друг другу незнакомцев в общую сеть доверия. Наша экономика зависит от них. Многим развивающимся странам не хватает таких центров доверия, и они бы оказались в значительном выигрыше от подобной интеграции. И хотя у этих организаций зачастую много недостатков и слабых сторон — к примеру, у компаний, выпускающих кредитные карты, возникают проблемы с мошенничеством, кражей личных данных и недобросовестными отчетами, а Barings недавно потерпели провал, поскольку их системы управления неправильно адаптировались к торговле цифровыми ценными бумагами — в общем и целом, эти учреждения останутся с нами надолго.
Но это не подразумевает создание ТТР для новых протоколов. У этих институций особый способ ведения бизнеса, который уже высоко развит и специализирован. Зачастую они не могут кардинально изменить подход к ведению бизнеса. Значимые инновации в новых сферах, таких как электронная коммерция и цифровая безопасность, должны исходить извне. Любой новый протокол, особенно принципиально иной, не подойдет существующим институциям. Поскольку разрабатывать новые TTP с нуля очень затратно, то будет намного дешевле при запуске протоколов минимизировать их зависимость от ТТР.
Новые доверенные третьи стороны могут быть привлекательны
Ниже представлены многие причины, по которым организации могут предпочитать дорогие системы безопасности, основанные на ТТР, более эффективным и менее ресурсоемким системам безопасности с минимальным использованием ТТР:
Нехватка воображения, усилий, знаний или времени у создателей протокола — намного проще разработать протоколы безопасности, которые зависят от ТТР, чем те, которые не зависят (то есть избегать проблему, а не решать ее). Естественно, стоимость разработки — это важный фактор, ограничивающий прогресс по минимизации ТТР в протоколах безопасности. Еще одним важным фактором является отсутствие осознания первостепенности проблемы среди многих архитекторов безопасности, особенно корпоративных архитекторов, которые разрабатывают стандарты безопасности в интернете и в беспроводных сетях.
Большое искушение занять «высокое место» среди ТТР. Желание стать следующими Visa или Verisign — это соблазн обладать огромной силой, перед которой тяжело устоять. Барьеры для построения успешного ТТР-бизнеса, однако, существенны: значительные затраты на создание компании, затем — не менее значительные текущие расходы, высокие риски ответственности и при отсутствии «преимущества первого шага», — и для конкурентов путь на рынок будет открыт. Тем не менее, если никто так и не решит проблемы с TTP в протоколе, это может быть прибыльным бизнесом; конечно, легко завидовать таким крупным игрокам, как Verisign, а не запоминать названия всех тех компаний, также пытавшихся достичь успеха, но проигравших. Также легко представить себя владельцем успешного TTP-бизнеса и защищать протокол безопасности, требующий TTP, вместо того, чтобы приложить усилия и попытаться, собственно, решить проблему безопасности.
Укоренившиеся интересы. Многие профессионалы-гуманитарии зарабатывают на жизнь, используя навыки, необходимые в TTP-организациях: например, аудиторы и юристы, которые создают и управляют традиционными структурами контроля и правовой защиты. Разумеется, они предпочитают такие модели, которые подразумевают, что применить «настоящую» безопасность получится лишь при их участии. В новых сферах, таких как электронная коммерция, они предпочитают новые бизнес-модели, основанные на ТТР — к примеру, поставщики услуг приложения (Application Service Providers, ASP), вместо того, чтобы тратить время на изучение новых практик, способных поставить под угрозу их старые навыки.
Ментальные транзакционные издержки. Доверие, как и вкус, является предметом субъективного суждения. Это требует ментальных усилий. Третья сторона с хорошей репутацией, которой действительно можно доверять, может уберечь своего потребителя от необходимости проведения многочисленных исследований или других трат, связанных с вынесением данного суждения. Однако лица, которые в итоге не оправдывают оказанного доверия, заставляют потребителя не только нести косвенные затраты, но и увеличивают общую стоимость попыток выбора между надежными и ненадежными третьими сторонами.
Частная собственность не должна зависеть от ТТР
Большую часть истории человечества преобладающей формой собственности была частная собственность. При обычных условиях, функциональность частной собственности никогда не зависела от ТТР. Свойства безопасности простых товаров проверялись непосредственно при продаже или же при первом использовании, и отсутствовала необходимость в длительном взаимодействии с производителем или иными третьими сторонами (за исключением редких случаев обращения с сервисному персоналу после исключительного использования или на добровольной или временной основе). Права собственности на многие виды движимого имущества лишь минимально зависели от третьих сторон — единственная проблема, при которой требовались ТТР, возникала, когда нужно было защититься от грабежей. Основным свойством безопасности движимого имущества была не потребность в защите, предоставляемой другими ТТР, а портативность, и то, что распоряжаться этим имуществом мог только владелец.
Ниже приведены некоторые примеры повсеместного использования личного имущества, при котором владелец обладал или, по крайней мере, сильно желал независимости от TTP в контексте функциональности или безопасности:
Ювелирные изделия (в традиционных культурах они гораздо чаще, чем монеты, использовались как деньги, например, в Северной Европе до 1000 г. н.э., а также их надевали в качестве украшений, с целью уберечь от грабителей);
Автомобили и дома, которыми управляют при помощи личного ключа;
Персональные компьютеры — в изначальном видении многих пионеров персональных компьютеров (например, членов «Домашнего компьютерного клуба» (Homebrew Computer Club), ПК был личной собственностью — владелец должен был иметь полный контроль над программным обеспечением, работающем на ПК, включая возможность копирования битов по желанию. Сложность программного обеспечения, подключение к интернету и несоответствие стимулов между издателями программного обеспечения и пользователями (владельцами ПК) существенно подорвали концепцию персонального компьютера как личной собственности.
Это инстинктивное желание, которое существует и по сей день. Это проявляется в сопротивлении потребителей, когда они обнаруживают неожиданную зависимость и уязвимость перед третьими лицами в устройствах, которые они используют. Предложения о том, что функциональность личного имущества должна зависеть от третьих сторон, даже в случае согласия со строгими условиями, к примеру, с кредиторами до момента погашения ссуды под залог движимого имущества (умный залог), встречаются сильным сопротивлением. В большинстве случаев зависимость частного имущества от доверенных третьих сторон является совершенно неприемлемой (именно доверенных, а не принудительно назначенных протоколом для соблюдения соглашения, регулирующего протокол безопасности и имущество).
Методология минимизации ТТР
Мы предлагаем методологию разработки протокола безопасности, в соответствии с которой протоколы нацелены на минимизацию затрат и рисков, связанных с TTP. Это является важной, однако второстепенной задачей.
На данный момент разработчики систем безопасности активируют ТТР и делают такие криптографические предположения, которые гласят, что доверенные третьи стороны подойдут для наиболее безопасного или же наименее затратного, с точки зрения компьютерных вычислений, протокола безопасности. Эти ТТР затем используются в пробной версии общей архитектуры протокола. Но это не определяет самые важные моменты. Как только протокол безопасности установлен, сам по себе код стоит немного, а экспоненциальные функции затрат, такие как закон Мура, уменьшают затраты, связанные с вычислениями, пропускной способностью и многими другими технологическими аспектами. Расходы на сам протокол безопасности (за исключением расходов на раунды сообщений, ограниченных скоростью света, и пользовательского интерфейса, ограниченного ментальными транзакционными издержками) приближается к нулю. На сегодняшний день наиболее долгосрочными расходами по системе (как мы узнали в PKI) являются затраты на внедрение TTP.
Гораздо полезнее с самого начала оценить приблизительную стоимость TTP, чем пытаться разработать протоколы безопасности для минимизации затрат. Это, скорее всего, приведет разработчика к совершенно иным криптографическим предположениям о доверии и, следовательно, к другим протоколам безопасности, чем если бы в некоторых местах он сделал предположение о «чистой» TTP, не подвергшейся анализу, с целью упростить протокол безопасности. Как следствие, если существует протокол безопасности, способный устранить или значительно снизить затраты на TTP, тогда намного выгоднее использовать его, а не то, что предлагает дорогостоящая TTP. Даже если протокол безопасности, использующий доверенную третью сторону, более прост и эффективен в вычислительном отношении.
«Доверенные третьи стороны — это слабое место в системе безопасности» означает, что «все протоколы безопасности имеют слабые места», поскольку ни один протокол не является полностью свободным от подобных предположений. Ключевые шаги в оценке затрат и рисков, связанных с TTP:
Тщательное изучение своих предположений, чтобы выявить все аспекты относительно TTP и конкретно обозначить, что именно ожидается от каждой из ТТР;
Осознать, что каждая проблема в системе безопасности и каждая задача имеют связанные с ними расходы и риски.
В числе других важных соображений на этот счёт:
Расходы на разработку. Минимизация TTP часто включает в себя обучение неинтуитивным и сложным методам криптографии и отказоустойчивости, а также их применение. Некоторые из таких методов указаны ниже. Это может быть тяжелой ношей или попросту непрактичным занятием для небольшого проекта смарт-контрактов. С другой стороны, затраты на разработку новой TTP-институции обычно гораздо выше, чем затраты на разработку нового протокола. Определение того, является ли новая институция надежной в долгосрочной перспективе, стоит еще больше, в то время как протоколы могут быть формально проанализированы, а их применение — подвержено аудиту на основе этого анализа, чтобы иметь твердую уверенность в том, что сроки разработки продукта не будет нарушены.
Ментальные транзакционные издержки пользователя — новые TTP, даже те, которые имеют достаточно ограниченные функции, могут быстро усложнить для конечного пользователя отслеживание репутации и показателей качества различных доверенных брендов. Когда TTP распределены (как в описанной ниже технологии), отслеживание репутации должно быть автоматизировано, что намного проще, в случае если TTP сполна выполняют аналогичную функцию.
Если для новой сферы, такой как электронная коммерция, мы сможем найти протокол безопасности, который заменит TTP-организацию (сложный набор традиций, совершенно не доказанный в новом контексте) математикой (которая, по крайней мере, сама по себе является вполне понятной и доказуемой), это будет большой победой. Чаще и чаще мы будем заменять сложную, дорогостоящую TTP одной или несколькими намного более простыми TTP и математикой. Это тоже большая победа. А для того чтобы убедиться в том, победа это или нет (и насколько она большая), необходимо сосредоточить внимание на предположениях о доверии и итоговых затратах на TTP, а не на эффективности протокола безопасности. Ключ к успеху состоит в том, чтобы сфокусироваться на стоимости TTP и разработать такой протокол безопасности, который бы минимизировал её, вместо того, чтобы делать предположения о TTP с целью упрощения или оптимизации эффективности самого протокола безопасности.
Хороший разработчик протокола цифровой безопасности является не только специалистом в области компьютерных наук и криптографии, но и очень хорошо осведомлен о традиционных дорогостоящих методах физической безопасности, аудита, права и деловых отношений, которые необходимо обезопасить. И он использует эти знания не для замены дорогостоящих методов безопасности на более эффективную с точки зрения затрат цифровую безопасность, но для того, чтобы минимизировать скрытую зависимость реальной безопасности от дорогостоящих методов. Хороший разработчик протоколов также разрабатывает, а не просто вызывает TTP, которые работают с минимальным использованием дорогостоящих методов.
Протоколы, минимизирующие ТТР
Исходя из вышеизложенного, ключом к минимизации TTP является их идентификация, характеризация, оценка затрат и рисков, а также разработка протоколов, нацеленных на TTP с минимальными затратами и рисками. Когда риск смягчается при помощи методов, указанных в данной работе, его можно значительно уменьшить.
Три области исследований и применения протоколов демонстрируют особые перспективы в улучшении доверия. Два из них связаны с особенно сложной областью конфиденциальности, где нарушение доверия часто является необратимым — как только данные переданы, их невозможно вернуть.
Первое семейство протоколов, в котором доверие может быть распределено для сохранения конфиденциальности, — это миксы Чаума. Миксы позволяют поддерживать связь без отслеживания со стороны третьих лиц. Только один из N прокси-серверов из всей цепочки должен быть надежным для сохранения конфиденциальности. К сожалению, все N прокси должны быть надежными, или в противном случае, сообщение пропадет и будет подлежать повторной отправке. Компромисс протокола цифрового микса заключается в увеличении задержки обмена сообщениями (необходимости повторной отправки), чтобы минимизировать риск необратимой потери конфиденциальности.
Вторым семейством протоколов, в которых доверие может быть распределено для сохранения конфиденциальности, является безопасное многостороннее вычисление (multiparty private computations). Здесь виртуальный компьютер распределяется между N сторонами, которые предоставляют специально зашифрованный ввод друг другу, а не доверенной третьей стороне. Распределенный компьютер принимает входные данные от каждой из N сторон, вычисляет согласованный алгоритм, затем выводит ответ. Каждая сторона узнает только ответ, а не ввод какой-либо из других сторон. Информация о количестве сторон, которые должны сговориться, чтобы нарушить конфиденциальность или угрожать надежности, может быть опущена. Данный вопрос был подробно изучен в имеющейся обширной литературе по этой теме. Безопасное многостороннее вычисление может использоваться для конфиденциального аудита, конфиденциального сбора предпочтений и данных, аукционов и обменов с конфиденциальными предложениями и т.д.
Семейство протоколов, которое реплицирует данные и распределяет операции над этими данными, при сохранении их правдивости — это византийские устойчивые реплицированные базы данных. Реализации византийских устойчивых реплицированных баз данных включают Флот и Фалангу. Флот реализует повторяющееся сохранение объектов общего назначения. Примерами некоторых реализаций с открытым исходным кодом, которые пытаются, но не достигают устойчивости к византийской проблеме, общего назначения или полной децентрализации, являются Mojo Nation и Freenet. Применения включают в себя защищенные именные реестры и права собственности, а также безопасно опубликованный в Mojo Nation и Freenet контент. Наиболее продвинутой работой в этой области являются византийские отказоустойчивые системы кворума, а также другие последние достижения в распределенной безопасности.
Важно отметить, что эти пороговые методы предназначены только для повышения честности одного шага или запуска протокола. Практические системы, такие как Mojo Nation, объединяют большинство или квалифицированное большинство в рамках конкретного запуска с обнаружением сбоев и выбором клиентами серверов между запусками. Таким образом, мы можем возвратиться ко всем системам репутации, аудиту и всему тому, что в долгосрочной перспективе повысит надежность в распределенных системах. Большинство или квалифицированное большинство во время запуска создают очень хорошую краткосрочную устойчивость, которая отсутствует в таких системах, как Freenet и Mojo Nation. (Это единственное, что отсутствует у Mojo, которая использует схему голосования 4 из 8, однако отсутствует доказательство устойчивости к византийской проблеме при количестве до 4-х из 8).
Удаленная аттестация кода сервера
Удаленная аттестация была создана для проверки состояния программного обеспечения на компьютере с целью защиты интеллектуальной собственности. Более ценное использование удаленной аттестации — проверка поведения серверов. Это также называется прозрачным серверным подходом. Посредством удаленной аттестации клиенты могут удостовериться, что на сервере запущен и работает конкретный желаемый код. В сочетании с возможностью проверки этого кода как открытого источника удаленная аттестация серверов может значительно снизить уязвимость клиентов и пользователей к серверу. Учитывая важность проблемы доверенных третьих сторон, которая обсуждалась в данной публикации, этот подход имеет огромный потенциал для преобразования протоколов доверенных третьих сторон в защищенные протоколы, а также открывает дорогу многим новым защищенным протоколам, создание и применение которых до сих пор было невозможно. К примеру, Хэл Финни внедрил версию бит голда, называемую многоразовым доказательством выполнения работы (reusable proofs of work, RPoW), основанную на защищенной со-процессорной плате, которая позволяет пользователям удаленно проверять код, запущенный на карте. И хотя на данный момент все еще необходимо доверять производителю карты, он отделен от установки кода сервера и от работы сервера на карте.
Оставляем некритичные слабые места открытыми
Часто разработчик протокола не может понять, как исправить уязвимость. Если атака, от которой требуется защита, предоставляемая TTP, не является серьезной угрозой в контексте приложения, которое разработчик пытается защитить, лучше просто оставить эту проблему нерешенной, чем назначить задачу TTP. Например, в случае криптографии с открытым ключом разработчики протоколов не выяснили, как предотвратить «атаку посредника» (man-in-the-middle, MITM) во время первоначального обмена ключами. SSL пытался предотвратить это, потребовав, чтобы центры сертификации действовали в качестве доверенных третьих сторон, как описано выше, и это решение стоило интернет-сообществу миллиарды долларов, выраженные в стоимости сертификатов и потерянных возможностей для защиты сообщений. SSH, с другой стороны, решил просто оставить эту незначительную проблему без решения. MITM, насколько мне вообще известно, никогда не использовалась для компрометации конфиденциальности пользователя SSH, и SSH гораздо шире используется для защиты конфиденциальности, чем SSL, и при этом обходится значительно дешевле. Этот экономичный подход к безопасности был более подробно рассмотрен Яном Григгом.
Разбор терминологии
Алан Карп и Марк Миллер наблюдали в сообществе замешательство в отношении таких слов, как «доверие» и «доверенный», и предложили заменить глагол «доверяет» на слово «уязвим». Эта замена — отличный способ четко прояснить конструкцию протокола безопасности. «Доверенная третья сторона», используемая в этом эссе, превращается в «уязвимая к третьей стороне», и смысл, заложенный в название этой работы, становится очевидным.
В контексте конструкций протоколов вместо того, чтобы говорить, что конструктор протокола доверяет некоторому малоизвестному параметризованному классу сторон (упоминается в единственном числе как «доверенная третья сторона») с заданной авторизацией (что, вероятно, действительно означает, что разработчик просто не знает, как устранить слабое место в системе безопасности), честный разработчик признает, что существует уязвимость, и либо её нужно устранить или минимизировать посредством других решений, либо пользователи будут осознанно её игнорировать. Класс сторон мало известен, поскольку разработчики протоколов безопасности обычно мало знают о традиционных нецифровых системах безопасности, правовых и институциональных решениях, необходимых для того, чтобы такая сторона заслужила доверие. Замена слова «доверенная» на «уязвимая к» хорошо вписывается в концепцию протокола и честно отображает состояние его безопасности.
Увы, едва ли разработчики и продавцы систем безопасности, которые рассказывают о «доверенных третьих сторонах» и «доверенных вычислениях» вот так просто признают, что их протоколы «уязвимы». Такие разработки звучат намного более безопасными, если используется эвфемизм «доверие».
В реальном мире, помимо технического контекста разработки протокола безопасности, слово «доверие» имеет много значений. Один из вариантов использования — это доверие, основанное на знании, например, «Я верю, что эта броня защитит меня от обычных пуль, потому что ее очень хорошо протестировали», «Я доверяю этому сайту и предоставлю ему это разрешение, потому что мы используем продвинутый протокол защиты, который защитит меня» или «Я доверяю своей жене детей». В этих случаях замена «доверия» на «уязвимость» изменит смысл на противоположный. То, что слово «доверие» может принимать, по сути, противоположные значения в зависимости от контекста, является еще одним веским аргументом в пользу того, чтобы не использовать это слово при описании уязвимостей или отсутствия уязвимостей в протоколах безопасности. Считает ли разработчик, что он должен доверять некоторому параметризованному классу, — это одно. Станет ли конкретный пользователь действительно доверять конкретному представителю этого класса, когда протокол начнет выполняться, — это совсем другое. Еще один немаловажный вопрос: основано ли доверие разработчика или же доверие пользователя на знании?
Вывод
Традиционная безопасность является дорогостоящей и рискованной. Цифровая безопасность при правильном подходе со временем значительно уменьшается в стоимости. Когда разработчик протокола вызывает ТТР или делает предположение, он создает потребность в новой организации, которая должна попытаться решить не разрешенную проблему безопасности с помощью традиционных методов. Особенно в цифровой плоскости эти методы требуют постоянных высоких затрат, связанных с TTP, а TTP создает для конечных пользователей препятствие в виде постоянных высоких затрат и рисков.
Более совершенная методология заключается в том, чтобы начать работу с TTP, которые либо хорошо известны, либо легко могут быть описаны, либо имеют минимальную стоимость. Лучшая TTP — та, которой не существует, и необходимость в которой была устранена конструкцией протокола, или же она была автоматизирована и распределена между участниками протокола. Последняя стратегия привела к появлению наиболее перспективных областей исследования протоколов безопасности, включая цифровые миксы, безопасное многостороннее вычисление и устойчивые к византийской проблеме базы данных. Эти и подобные им реализации будут использоваться для радикального снижения стоимости текущих TTP и решения многих нерешенных проблем в области конфиденциальности, честности, прав собственности и обеспечения соблюдения договоров, одновременно минимизируя очень высокие затраты на создание и эксплуатацию новых TTP-институций.
Ссылки
Указаны в тексте.
Благодарности
Я благодарю Марка Миллера, который побудил меня записать эти мысли и предоставил много дельных комментариев. Я также благодарю Хэла Финни, Марка Стиглера, Дэвида Вагера и Яна Григга за их комментарии.