О знаменитости

Росс Андерсон: биография

Криптографические протоколы и системы уровневой защиты

Многие наиболее интересные с научной точки зрения атаки становятся возможными вследствие несовершенства протоколов. Например, недостатки дизайна, в которых шифруются тексты, содержащие ошибки, или неверно шифруются правильные тексты. Такие уязвимости широко распространены на практике, но их крайне трудно обнаружить. За годы работы Росс Андерсон обнаружил целый ряд атак на протоколы. Он был первым, кто использовал формальные методы для проверки протоколов шифрования, лежащих в основе реальных банковских систем. Он также был одним из изобретателей микроплатежей, и одним из авторов идеи делать файлы достаточно незаметными, чтобы их существование можно было отрицать даже под давлением (идеи, схожие со стеганографией).

Безопасность программных интерфейсов.

Атаки на программные интерфейсы — очень важное техническое новшество последних лет. Они распространяют анилиз протоколов на программные интерфейсы криптографических процессоров. Эти устройства обычно имеют несколько десятков транзакций, которые могут быть выполнены с помощью закрытых ключей. Большинство таких приборов может быть взломано при помощи выдачи надлежащим образом выбранной последовательности транзакций. Именно Росс Андерсон первым начал исследования в этой области. Его работы заставили производителей перестроить многие продукты, а последующие исследования других ученых позволили обнаружить атаки на GSM-шифрование и на чипы TPM, лежащие в основе систем «Trusted Computing».

Кубок ВФПС в классе яхт "Оптимист"

Все видео

Противодействие подделкам оборудования.

В 1996 году Росс Андерсон разрушил распространенную веру в смарт-карты, защищающие от подделок. Его начальная статья о методах атак на них получила премию и очень широко известна. В дальнейшей работе Андерсон открыл перспективную область оптической безопасности, в которой лазерное зондирование используется для вызова неисправностей в полупроводниковых приборах и для чтения памяти без использования схемы, предоставленной поставщиком чипов для этой цели. С 1999 по 2003 г. он участвовал в большом проекте, финансируемом ЕС, направленном на создание смарткарт, гораздо менее уязвимых к атакам. Эти смарткарты строились но основе самосинхронизирующейся двухканальной логике со встроенной схемой тревоги. В настоящее время Росс Андерсон показал, что общепринятая система ввода PIN-кода неудовлетворительна в отношении устойчивости к подделкам.

Анализ и проектирование шифров

Криптология — предмет, к которому Росс Андерсон возвращается каждые несколько лет. Взлом шифров был его вступлением в информационную безовасность в середине 80-х годов, когда он нашёл ряд атак на поточные шифры и предложил их улучшенные версии. Он вернулся к этой теме в начале 90-х. Некоторые работы по хэш-функциям помогли ему найти способы построения блочных шифров из хэш-функций и потоковых шифров. Его самая значительная работа — блочный шифр Serpent, который стал финалистом конкурса AES. Победителем тогда стал Rijndael, а Serpent был вторым.

Обработка сигналов и безопасность

В конце 90-х Росс Андерсон потратил некоторое время на применение идей обработки сигналов к компьютерной безопасности. Наиболее оригинальной разработкой была «Soft Tempest»(TEMPEST — сокр. «transient electromagnetic pulse emanation surveillance technology» — средства электронной слежки, использующие анализ электромагнитного излучения в схемах при переходных процессах). Ранее считалось, что конструкция компьютеров с защитой Tempest должна включать аппаратные методы, такие как металлическое экранирование. Росс Андерсон показал, что существенная защищенность может быть достигнута программными методами. В 1995 году он заинтересовался проблемой цифровых водяных знаков, и в течение нескольких лет взломал практически все существующие системы маркировки авторских прав. Программа «StirMark» стала промышленным стандартом для тестирования систем маркировки.

Инженерия безопасности («Security Engineering»)

Многие работы Росса Андерсона были обобщены в его книге «Инженерия безопасности: руководство по построению надежных распределенных систем» («Security Engineering: A Guide to Building Dependable Distributed Systems»). Эта книга вышла в 2001 году. Она предназначена для использования как в качестве учебника, так и в качестве справочника. В первой части описываются основные понятия и приемы безопасности. Во второй части обсуждаются конкретные применения инженерии безопасности компьютерных систем, в том числе бухгалтерских и банковских систем, систем наблюдения и др. Эта часть читается, как детектив. В третьей части рассматриваются организационные и политические вопросы. В частности, как компьютерная безопасность соотносится с законодательством; как мы можем убедиться, что система функционирует в соответствии с замыслом и др. Книга может быть очень полезной для разработчиков компьютерных систем и программистов. Информацию о переводе книги на русский язык найти не удалось.