На главную
Многоуровневость доверия на примере личных встреч
Доверие имеет противоположную сторону - угрозы. Модель угроз (список угроз) будет пуста, если мы всем доверяем и, наоборот, угроз будет огромное множество если мы не доверяем никому.
Если мы доверяем своему окружению, то есть считаем его безопасным, то мы можем просто встретиться с человеком. Нам не нужна никакая конспирация.
Проблемы начинаются тогда, когда наше окружение не заслуживает доверия. Никто и никогда не заслуживает доверия, но нам приходиться доверять хоть кому-то: иначе жить невозможно.
В прошлой главе "Изоляция и разделение" мы пришли к выводу, что личные встречи невозможны. Однако, личная встреча может быть необходима для, как минимум, обмена ключами шифрования.
Почему именно личная встреча? Почему не тайниковая операция?
Дело в том, что при тайниковой операции тайник могут вскрыть и прочитать информацию, которая там хранится, за то время, пока он лежит. Поэтому, по сути, даже если говорить про тайниковую операцию, то это должна быть операция, где тайник ни секунды не находится без присмотра. То есть забирает его человек, который видит, как закладывается тайник.
Попробуем рассмотреть обмен ключами с максимальной степенью недоверия.
Журналист Рома хочет скрыть информацию об источнике Ирине.
В худшем случае за Ромой следят. В самом худшем случае, следят и за Ириной. Однако, в таком случае, Ирина вряд ли что сможет сделать. Всё, что она может сделать, это послать информацию, зашифрованную асимметричным алгоритмом, на ящик Ромы. И тут же погибнуть.
Если Рома защищён от нападений (находится за границей в безопасности и под охраной), то он сможет опубликовать эту информацию. Однако, в противном случае, у Ромы эту информацию могу изъять в ходе налёта, а его самого тоже убить за излишнюю дерзость.
Напомню, мы считаем, что шифрование асимметричным алгоритмом не является стойким, если нам нужен высокий уровень доверия к шифрованию (то есть наш противник очень силён). Но по нашей модели одного факта передачи информации достаточно для того, чтобы Ирина погибла.
Давайте посмотрим, что мы можем сделать?
Мгновенный обмен.
Самый простой способ для Ирины согласовать ключи шифрования - это встретиться в толпе граждан с Ромой, и быстро обменяться с ним флешками с ключами шифрования.
Однако, наружное наблюдение за Ромой или Ириной может заметить такой обмен.
Тайниковая операция.
Рома и Ирина могут пойти на тайниковую операцию. Однако, как уже было сказано выше, тайник могут обнаружить и считать с него информацию.
Обмен через посредника.
Рома может встретиться с посредником Павлом. Павел передаст ключ Ирине. (или Ирина Павлу, а Павел Роме).
Однако, в таком случае, мы должны доверять посреднику. И что, если установленной связи с посредником тоже достаточно для создания проблем для Ирины?
Сообщение информации через открытые источники с помощью стеганографии.
То есть Ирина выставляет стеганографированную информацию. Скажем, своё фото или любое другое фото на свой сайт или страничку в социальных сетях. Так или иначе в этой картинке имеется послание, зашифрованное асимметричной криптографией.
Какие ещё есть способы?
Конечно, вместо мгновенного обмена она может сказать Роме слово-пароль. Однако, такое слово, вероятнее всего, будет недостаточно длинным (его можно будет подобрать). Мгновенный обмен будет проще, быстрее, незаметнее и надёжнее.
Комбинация способов: то есть часть пароля Ирина передаст через посредника, часть через тайник.
Однако, это увеличивает риск раскрытия Ирины, так как ей придётся участвовать уже в двух операциях: тайниковой и обмене через посредника.
Легендированный обмен.
Посредник примет от Ирины флеш-память под какой-то хорошей легендой. А потом уже передаст Роме.
Хуже всего, если за Ириной ведётся слежка. В таком случае, её действия крайне скованы. По сути, она, возможно, даже не сможет скопировать информацию с компьютера на работе, так как её сразу же отследят. Причём такая слежка за копированием информации не очень затратна и вполне возможна.
То есть даже копирование этой информации будет проблемой.
Но мы сейчас рассматриваем ситуацию передачи этой информации.
Если телефон Ирины прослушивается, а за самой Ириной следит квалифицированная группа наружного наблюдения, что можно сделать?
Ничего.
Теоретически, кто-то может установить группу наблюдения и отвлечь её. Например, на автомобиль с группой могут напасть хулиганы и забросать его зажигательной смесью. Именно в этот момент Ирина выйдет из дома и ускользнёт от наружного наблюдения. Или не выйдет из дома, а в намеченном месте скроется от наружки в зоне, где ещё и нет видеонаблюдения. Потом её подберёт микроавтобус без окон.
Однако, как Ирина договриться о такой акции? И где возьмёт участников?
Да и участники, надо сказать, крайне сильно рискуют.
Как видим, здесь уже начинают приходить в голову активные варианты: мы воздействуем на систему защиты, чтобы вывести её из строя.
Разумеется, Ирина может использовать трюк с переодеванием. Если у наружки нет тотального контроля, они, возможно, не смогут понять, что случилось. Однако, что, если работодатель Ирины убивает даже за то, что Ирина оторвётся от слежки?
Тут выход только если работодатель избыточно строг и требует нереальной идеальности работы от наружки. В таком случае, наружка может написать, что никого не теряла, а спокойно довела Ирину до дома, чтобы отписаться от начальства и не получить нагоняй.
Но где гарантии, что она так напишет? Даже если вчера написала, сегодня новенький пришёл и написал правду. Ещё не привык лгать начальству и не знает, чем это грозит Ирине.
Именно здесь Ирина может пойти на однократную операцию, которая была описана разделом ранее (для Ромы и Коли): Ирина с агентом-женщиной однократно заменят друг друга. То есть не журналист будет осуществлять подмену, а источник.
Однако, у неё будет лишь ограниченное количество времени для того, чтобы встретиться с журналистом. То есть нужно заранее установить с журналистом связь и назначить время, предупредив, что другой возможности встречи может уже не быть.
Так что у Ирины есть возможность оторваться от слежки. Но только если:
1. Она может организовать такой трюк с подменой себя на подругу и сделать всё как надо
2. Она доверяет этой подруге и её способности и желанию всё сделать как надо
3. Операция однократна
4. У наружки нет тотального контроля, то есть они не могут или не считают экономически целесообразным проводить слежку ещё и за всеми нежелательными контактами-журналистами и сопоставлять их контакты с контактами Ирины.
Даже если 4-ое условие не выполнено, наличие разового "случайного" контакта с журналистом может быть посчитано случайностью, то есть Ирину за это не убьют и не уволят, но, допустим, усилят наблюдение, в том числе, на работе.
Может ли Ирина просто передать ключ подруге, а та передаст журналисту?
Почему бы и нет. Но, в таком случае, подруга будет точно знать, кому и что передаётся и сможет затем прослушать информацию или продать её работодателю Ирины.
При этом, Ирина даже не будет точно знать, вышла ли её подруга на контакт с журналистом или соврала.
Хотя это, как раз, можно проверить с помощью заранее оговорённого удалённого сигнала.
Таким образом, операция может не содержать сложных процедур по переодеванию. Ирина вполне нормально встречается со своей подругой и, незаметно для наружки, передаёт ей флешку и инструкции, где и как надо встретиться с журналистом Ромой.
Подруга встречается с Ромой и передаёт ему флешку с соблюдением мер конспирации на случай, если, всё-таки, за кем-то из них следят.
Как мы видим, уровень доверия к подруге выше, так как теперь она точно знает, кому передаёт информацию.
Однако, теперь не требуется никаких шлюзов и трюков с переодеванием. Только лишь мгновенный обмен или другой контакт с журналистом.
Таким образом, в зависимости от уровня доверия, изменяется и план наших мероприятий. Упрощение мероприятия, в данном случае, хорошо, так как теперь ни Ирине, ни её подруге не надо переодеваться в шлюзе и им не нужен сам шлюз. Это означает, что они не допустят здесь какой-либо ошибки, из-за которой всё пойдёт не так и Ирина и её подруга погибнут.
В принципе, такая схема вполне выполнима.
Но, допустим, у Ирины нет ни друзей, ни подруг, которым она могла бы доверять или она не хочет их втягивать.
За Ириной, по-прежнему ведётся наружное наблюдение.
Что можно сделать?
Возможно, стоит вообще отказаться от того, чтобы передавать ключи лично и довериться асимметричной криптографии.
Но, допустим, Ирина очень хочет удостовериться, что она работает именно с журналистом (если знает его в лицо), или просто хочет, не смотря ни на что, согласовать симметричные ключи.
Разумеется, Ирина может попробовать найти какого-то посредника со стороны, знающего этого журналиста. Однако, неизвестно, доверять такому посреднику тоже непонятно, насколько можно.
Мгновенный контакт, теоретически, может заметить наружка. Хотя наружное наблюдение за Ириной ведётся профилактически, небольшим количеством людей, поэтому это тоже можно делать.
При этом, в идеале, мгновенный контакт нужно залегендировать. То есть Ирина должна оказаться с журналистом в одном месте не просто так, а по легенде: для прикрытия у неё должен быть какой-то мотив оказаться в этом месте, никак не связанный с журналистом. Так, чтобы наружка затем могла проверить, зачем там была Ирина, и зачем там был журналист. Обращу внимание на то, что легенда журналиста тоже существенна и то, что её можно как-то проверить. Оба контактёра не должны вызывать подозрений при проверке их легенд. Я попробую привести пример в другом разделе.
В чём изменилась операция по передаче данных по сравнению с ранее указанной?
Если ранее мгновенный контакт был лишь дополнительным прикрытием для подруги. Его можно было не осуществлять. То теперь от качества мгновенного контакта и его прикрытия легендой зависит жизнь Ирины.
То есть ранее даже серьёзная слежка за Ириной выявила лишь обычный для Ирины контакт с подругой, а за подругой, скорее всего, слежки бы не велось.
Сейчас же слежка может выявить мгновенный контакт непосредственно.
То есть, как видим, доверие с подруги перешло на доверие к мгновенному контакту. То есть с человека доверие перешло на качество выполнения операции (в том числе, и её подготовки).
Допустим, мы не в состоянии осуществить мгновенный контакт.
Теоретически, это может быть какой-то другой контакт. Например, тайниковая операция. Однако она уже не даёт гарантии, что кто-то не прочитает содержимое флешки.
То есть здесь мы начинаем постепенно уходить в область предположений, что содержимое прочитать не удастся. В область доверия.
Если мы хотим упростить операцию, то мы можем доверять предположению, что за Ириной (источником) и Ромой (журналистом) не следят непосредственно, а только через камеры.
В таком случае, тайниковая операция упрощается при условии, что найдено место, где нет камер и где можно залегендировать появление и Ирины, и Ромы, и можно организовать временный тайник.
Однако, такой контакт может быть зафиксирован системой тотальной слежки (напомню, эта система где-то в будущем). Если же такой системы нет, то, наверное, можно расслабиться. Особенно, если Рома будет загриммирован и его не распознают камеры на входе в ненаблюдаемую зону.
Если же у противника нет и камер наблюдения, кроме принадлежащих ему, то встречаться с Ромой можно почти открыто: нужно лишь не попасть под камеры наблюдения фирмы противника и его дочерних фирм, которые могут быть объединены в единую сеть. И, по возможности, снизить вероятность случайной компрометации: то есть что кто-то из знакомых случайно увидит Рому и Ирину в одном месте или кто-то случайной их снимет или сфотографирует и выложит в сеть.
Помним также, что есть специальные камеры, которые могут видеть через тонированные и зеркальные стёкла.
Также нужно помнить о том, что бывают люди надёжные в одном, но ненадёжные в другом.
Например, близорукие люди вряд ли заметят за собой даже грубую слежку - они её просто не увидят.
И доверять им в этом нельзя.
Кто-то обладает храбростью и физической силой. И ему можно доверить работу, требующую храбрости и физической силы.
Кто-то, наоборот, обладает способностью сделать работу, требующую повышенной осторожности.
Кто-то умеет врать, а кто-то нет.
Оккупация.