Кворум или заговор?
Так всегда бывает: как только построишь защиту, сразу начинаешь сверлить в ней дырки. А то слишком надёжная защита почему-то не вписывается в реалии жизни.
Вот и мы в своём шифровальном продукте имплементировали комиссионное восстановление секретного ключа. Это когда в случае утраты ключа (или его владельца, хе-хе) секрет может быть восстановлен совместными действиями не менее чем K человек из N уполномоченных (комиссия восстановления). Фича, не нужная для персональных продуктов, но вполне уместная для корпоративных.
На первый взгляд, схема достаточно надёжная. Процедура восстановления будет запущена лишь при необходимости, провести её скрытно от начальства или службы ИБ вряд ли удастся. Только кворум К должен быть достаточно велик для гарантии от заговора. Скажем, 6 человек. Вроде бы, достаточно.
Как только мы переходим к практическому применению данной фичи, стройная теория теряет радужные тона и довольно быстро сваливается в вонючую помойку под названием "как обычно".
Во-первых, довольно-таки непросто уговорить N>6 руководителей или ответственных работников принять на себя дополнительные обязательства.
Во-вторых, коллективный стиль управления не зря критикуют за отсутствие в нём персональной ответственности за принятые решения. Даже говорят "коллективная безответственность".
В-третьих, кворум может собираться и день, и два, и неделю. А многие случаи, когда секретный ключ утрачен и скомпрометирован, не терпят отлагательства.
Ну и наконец такое соображение. К=6 уважаемых людей, по идее, не могут вступить в заговор. А если без идеи? Смотря против кого этот "заговор". Против интересов предприятия, чтоб, например, украсть деньги - действительно маловероятно. Против гендиректора - тоже. А если против рядового сотрудника, который, к тому же, не брат, не сват? Да запросто! Собрались, пошушукались и кого-то съели.
Вот и мы в своём шифровальном продукте имплементировали комиссионное восстановление секретного ключа. Это когда в случае утраты ключа (или его владельца, хе-хе) секрет может быть восстановлен совместными действиями не менее чем K человек из N уполномоченных (комиссия восстановления). Фича, не нужная для персональных продуктов, но вполне уместная для корпоративных.
На первый взгляд, схема достаточно надёжная. Процедура восстановления будет запущена лишь при необходимости, провести её скрытно от начальства или службы ИБ вряд ли удастся. Только кворум К должен быть достаточно велик для гарантии от заговора. Скажем, 6 человек. Вроде бы, достаточно.
Как только мы переходим к практическому применению данной фичи, стройная теория теряет радужные тона и довольно быстро сваливается в вонючую помойку под названием "как обычно".
Во-первых, довольно-таки непросто уговорить N>6 руководителей или ответственных работников принять на себя дополнительные обязательства.
Во-вторых, коллективный стиль управления не зря критикуют за отсутствие в нём персональной ответственности за принятые решения. Даже говорят "коллективная безответственность".
В-третьих, кворум может собираться и день, и два, и неделю. А многие случаи, когда секретный ключ утрачен и скомпрометирован, не терпят отлагательства.
Ну и наконец такое соображение. К=6 уважаемых людей, по идее, не могут вступить в заговор. А если без идеи? Смотря против кого этот "заговор". Против интересов предприятия, чтоб, например, украсть деньги - действительно маловероятно. Против гендиректора - тоже. А если против рядового сотрудника, который, к тому же, не брат, не сват? Да запросто! Собрались, пошушукались и кого-то съели.