<<
>>

Что означают сертификаты?

Примерно в то же время, когда Бушпапа становился не только человеком, но и кораблем, корпорация Microsoft известила всех поклонников своей продукции, что ОС Windows 2000 получила от АНБ США сертификат соответствия «Уровню 4» по международной системе общих критериев компьютерной безопасности или кратко EAL4 (от «Common Criteria Evaluation Assurance Level 4 certification») [RE02].
Здесь заметим, что к 2002 г. в процедуре сертификации произошли существенные перемены: национальную «Оранжевую книгу» сменили международные «Общие критерии», а сам процесс государственной сертификации стали проводить не спецслужбы, а наделенные полномочиями коммерческие компании и институты. Поскольку общие критерии безопасности разрабатываются совместно спецслужбами ведущих стран Запада, то новый сертификат признается по крайней мере в 15 государствах и формально открывает Windows 2000 дорогу для официального использования в правительственных учреждениях. По словам Крега Манди, главного директора Microsoft по технологиям, процесс сертификации занял три года и стоил корпорации «многиемногие миллионы долларов». От указания точной цифры затрат Манди, правда, воздержался. Что же на деле означает сертификат EAL4? С точки зрения реальной безопасности – практически ничего. Программные продукты Microsoft слишком хорошо известны изобилием дыр в защите, никто, естественно, всерьез и не предполагает, будто от получения сертификата Windows 2000 стала вдруг «пуленепробиваемой». По сути дела, сертификат лишь признает, что тестирование независимыми экспертами третьей стороны (в данном случае – уже знакомой нам корпорацией SAIC) подтвердило – код программ действительно работает так, как заявляет изготовитель. Попутно нелишне отметить, что и прошлые (времен Эда Карри) сертификаты на соответствие уровню С2 «Оранжевой книги» также были чистой формальностью. Поскольку на самом деле уровень С2 никогда не присваивался операционной системе вообще, а только вполне конкретной конфигурации ОС, работающей на вполне конкретной машине. Так, Windows NT 3.5 была аттестована на уровень С2 в условиях компьютеров Compaq ProLiant 2000, ProLiant 4000 и DECpc AXP/150. Причем, что существенно, только в условиях автономной работы машины, без какихлибо подсоединений к сети. Понятно, что на самом деле Windows NT повсеместно используется именно как сетевая операционная система. Как бы там ни было, но для правительственных заказчиков наличие сертификата крайне важно, поскольку официально во многих государственных ведомствах работать с документами можно лишь на тех компьютерах, где установлено ПО, сертифицированное на соответствия принятым стандартам безопасности. Ныне это Common Criteria (CC). Конкретно о том, что означает уровень CC EAL4, лучше всего процитировать мнение сведущего эксперта. Вот что говорит Джонатан Шапиро, профессор Университета Джонса Хопкинса, участвующий в обкатке новых, еще далеких от завершения СС, и много лет занимающийся вопросами тестирования ПО на предмет безопасности: Номер уровня оценки от 1 до 7, по идее создателей критериев, выражает степень доверия конкретной системе. Самый низший уровень EAL1 означает, по сути дела, что изготовителю просто достаточно показаться на официальной встрече в инстанциях. Высший уровень EAL7 означает, что все ключевые части системы строго протестированы математическими методами (правда, общедоступного описания этих методов нет). Уровень же EAL4 означает, что документация по архитектуре системы была оценена с применением нетребовательных критериев. Эту оценку можно уподобить поверхностной аудиторской проверке бухгалтерии, когда аудитор просматривает оформление бумаг на предмет соответствия общепринятым стандартам, однако совсем не углубляется в проверку правильности какихлибо цифр. Оценка EAL4 не требует исследования собственно программ, и никаких исходных кодов здесь не проверяется. Что же здесь реально оценивается, так это огромное количество документации, описывающей процесс работы программного обеспечения. Причем документация эта в принципе не может ничего сказать о качестве самого программного обеспечения. Если же говорить в терминах компьютерной функциональности, то система с конкретным сертификатом EAL4, полученным на Windows 2000, не подразумевает ни подключение к Интернету; ни работу с электронной почтой; ни установку программ от разработчика, к которому нет 100процентного доверия (сама корпорация Microsoft, кстати говоря, замечена в рассылке клиентам компактдисков с ПО, зараженным вирусом). Таким образом, заключает Шапиро (после существенно более развернутого объяснения), в данном конкретном случае сертификат соответствия EAL4 свидетельствует лишь о следующем: корпорация Microsoft потратила многие миллионы долларов на создание документации, демонстрирующей, что Windows 2000 четко удовлетворяет неадекватному набору требований безопасности, а всякий пользователь может быть вполне уверен, что именно так дела тут и обстоят [JS02].
<< | >>
Источник: Бёрд Киви. Гигабайты власти. 2005

Еще по теме Что означают сертификаты?:

  1. § 1. Что означает понимание?
  2. Что означает этот сон?
  3. Что означает акт установления государства.
  4. Модерн есть современность. Что означает постмодерн?
  5. О ТОМ, ЧТО ОЗНАЧАЮТ В ПИСАНИИ СЛОВА «ЦАРСТВО БОЖИЕ», «СВЯТОЙ», «ПОСВЯЩЕННЫЙ» И «ТАИНСТВО»
  6. Означает ли это, что мы действительно могли работать в полную силу своих способностей...?
  7. Система электронных сертификатов
  8. ГЛАВА 9 Объясняет следующие слова Святого Писания: если же человек согрешит против Господа, то кто будет ходатаем о нем? И, приводя другие места, доказывает, что слова эти не означают, будто о таком грешнике никто не должен молиться, но надо только искать достойного молитвенника, какими были Моисей и Иеремия, ради молитв которых Бог простил израильскому народу
  9. 2. Архитектурные означаемые и история
  10. Действия, означающие богопочитание.
  11. Жесты как означающие движения тела
  12. ОБСЕССИЯ ОЗНАЧЕНИЯ, ИЛИ ПОЧЕМУ ВСТРЕЧА С ОЗНАЧАЕМЫМ ВСЕГДА ОТКЛАДЫВАЕТСЯ
  13. ГЛАВА I О том, что Божество непостижимо и что не должно делать исследований и обнаруживать любопытство относительно того, что не передано нам святыми пророками, апостолами и евангелистами
  14. При каких условиях признание внешности и вечности бытия (=природы) означает материализм?
  15. Рисовать картины, следуя своей фантазии, не означает создавать идолов, но использование их в целях религиозного культа — идолопоклонство.
  16. РАЗДЕЛ VI О бедствиях, порождаемых невежеством; о том, что невежество вовсе не уничтожает изнеженности; что оно вовсе не обеспечивает преданности подданных; что оно судит о самых важных вопросах, не зная их. О бедствиях, в которые эти суждения могут иногда ввергнуть нацию. О том, что следует презирать и ненавидеть покровителей невежества
  17. О том, что может быть выражено речью и что не может, и о том, что можно узнать и чего нельзя
  18. 1.4. Что у нас внутри, а что снаружи? (Внешняя и внутренняя среда организации)
  19. ГЛАВА V РУССО ТО СЧИТАЕТ, ЧТО ВОСПИТАНИЕ ПОЛЕЗНО, ТО — ЧТО ОНО БЕСПОЛЕЗНО
  20. Х. ЧТО МОГ И ЧТО МОЖЕТ ИИСУС ХРИСТОС И ПРАВОСЛАВНЫЕ СВЯТЫЕ