Решение, кому доверять, а кому – нет, может быть вопросом жизни и смерти. Поэтому неудивительно, что люди как порождение общества обладают поразительно сложной системой определения, запоминания и оценки других личностей по признакам, которыми они их наделяют. Вне всяких сомнений, у младенца исключительные способности различать человеческие лица. Но человек ограничен в своих возможностях: его память не безгранична, так же как и присущая ему энергия и время, которым он располагает. Как и в большинстве других случаев, когда поведение человека может быть упрощено до уровня механических процедур, на помощь могут быть призваны технологические методы для представления, передачи и установления идентичности объекта во времени и пространстве.

Обладание человека вышеперечисленными возможностями еще ничего не говорит о том, что они будут правильно использоваться, особенно при враждебных средах, описываемых в этой книге. Обычно программисты создают свои задачи для так называемой системы Мэрфи (Murphy\'s Computer), применительно к которой предполагается, что все, что может идти не так, как надо, обязательно произойдет. Это выглядит пессимистично, но в этом кроется сущность всех ошибок идентификации, от которых происходят бреши в системе защиты. Вместо этого Росс Андерсон (Ross Anderson) и Роджер Нидхам (Roger Needham) предлагают, чтобы программы были разработаны не для компьютера Мэрфи, а, скажем, для компьютера Сатаны (Satan\'s Computer). Только кажется, что компьютер Сатаны работает правильно. На самом деле все работает не так, как надо.

Установление идентичности в компьютерных сетях

В отличие от привыкших доверять друг другу людей, проблема установления идентичности в компьютерных сетях основана не на случайных признаках (например, как выглядит человек, каковы его характерные черты и т. д.). Она основана на том, что все передаваемые через компьютерную сеть биты можно выбирать недвусмысленным образом и объективно оценивать, читать и размножать с заданной точностью. Подобная переносимость битов составляет центральный принцип цифровых отношений. Нетерпимость даже к небольшим ухудшениям цифровых сигналов является их важным отличием от капризов аналогового мира. За счет явного цифрового представления всех компонент сигнала он может усиливаться и ретранслироваться бесконечное число раз в отличие от аналогового мира, в котором усиление сигнала выше некоторого предела становится невозможным из-за заглушения полезного сигнала шумом теплового движения. Но если все может быть сохранено, скопировано, повторено или разрушено, то не требуется большого ума, чтобы понять, что с этим могут сделать или не сделать получатели этих битов.

Неожиданно кажущийся сверхъестественным факт наличия у данных возможности промчаться через полмира за миллисекунды теряет свою необычность, если осознать, что подобное путешествие могут совершить только сами данные. Любые вспомогательные данные сигнала, которые могли бы уникально идентифицировать хост отправителя, и дополнительные идентификационные данные работающего за компьютером пользователя либо включены в данные, либо утеряны в первой точке цифрового дублирования (это может быть маршрутизатор, коммутатор или работающий повторитель).

Если человеку сопутствует случайная передача идентификационных данных, то в компьютерных системах ее нет совсем, потому что в них случайностей не бывает. Если для человека критична асимметричность, то в компьютерных сетях каждый бит в одинаковой степени можно копировать. Что еще надо? При нахождении универсальной закономерности бесконечные переменные или полностью стандартизированная структура пакета приводит к краху доверия.