Алексей Сабанов: Вольные и невольные трудности перевода
Алексей Сабанов, Заместитель генерального директора компании "Аладдин Р.Д."

Алексей Сабанов, Заместитель генерального директора компании «Аладдин Р.Д.»

В последнее время участились случаи вольной трактовки новостей, а подчас и серьёзных текстов (стандартов, международных соглашений и т.п.).

Для примера разберём одну из свежих новостей. Смотрим принадлежащий весьма уважаемой мной компании Positive Technology портал Securitylab.ru, читаем http://www.securitylab.ru/news/473754.php: «Согласно сообщению представителей Bluetooth Special Interest Group (SIG), организация заключила договор о сотрудничестве со специалистами промышленного консорциума Fast IDentity Online (FIDO) Alliance в целях создания платформы, позволяющей использовать смартфон в качестве альтернативы физическим USB-ключам безопасности. Последние широко распространены среди пользователей тех сервисов, в которых применяется двухфакторная аутентификация.

По словам специалистов, основной недостаток физических ключей состоит в том, что их слишком легко потерять. При этом достоинство современных смартфонов заключается в одновременном наличии поддержки различных стандартов безопасности (к примеру, PIN-кодов или биометрической аутентификации) и достаточно большого количества персональной информации, подтверждающей личность владельца.

Таким образом, целью экспертов из FIDO и SIG является создание платформы, использующей мобильные устройства по аналогии с USB-ключами безопасности для прохождения аутентификации, к примеру, в Gmail или Facebook». (конец цитаты).

Грамотный человек, прочитавший эту новость, тут же кликает на гиперссылку (оригинал текста новости), приведённую в тексте, и видит СОВЕРШЕННО ДРУГОЙ ТЕКСТ, отдалённо напоминающий суть выложенной на портале новости.

Если очень коротко, то действительно FIDO и SIG подписали протокол о намерениях по разработке «умного» Bluetooth для расширения (переноса) отработанных на десктопах (через USB-разъём) технологий идентификации и двухфакторной аутентификации пользователей на технологию защищённой передачи аутентификационной информации «по воздуху» с помощью мобильных устройств, которых в мире на руках уже восемь миллиардов и в ближайшие 3 года ожидается ещё 10 миллиардов. По словам Бретта Макдоуэла (Brett McDowell), альянс FIDO фокусируется на разработке спецификаций безопасной передачи секретной (аутентификационной) информации пользователя для ухода от использования паролей, неэффективных и уязвимых для множества атак.

В отличие от сути оригинального текста читаем русский «перевод», который состоит из фантазий на заданную тему, составленных непрофессионалом: «По словам специалистов, основной недостаток физических ключей состоит в том, что их слишком легко потерять». По словам каких специалистов? – не указано. Если речь идёт о новости на портале www.bluetooth.com, то об этом нет ни слова. Мало того, утверждение весьма спорное, и вряд ли уважаемые господа Эррет Кройтер (Errett Kroeter) и уже упомянутый ранее Бретт Макдоуэл позволили бы себе такое утверждение. Мобильные телефоны, кстати, по статистике теряют и крадут гораздо чаще, чем смарт-карты и USB-ключи.

Читаем дальше: «При этом достоинство современных смартфонов заключается в одновременном наличии поддержки различных стандартов безопасности (к примеру, PIN-кодов или биометрической аутентификации) и достаточно большого количества персональной информации, подтверждающей личность владельца». Разберём эту фразу. Сначала заметим, что стандарты безопасности здесь упомянуты весьма некстати. PIN (Personal Identification Number)-код в мобильном телефоне является аутентификационной информацией для проведения локальной аутентификации владельца SIM-карты, к которой привязан контракт на обслуживание оператором сотовой связи. Биометрия, которой оснащена часть современных смартфонов, является чисто идентификационной технологией. Биометрия используется для идентификации владельца, как правило, с помощью отпечатка пальца, который владелец может ввести заранее в память телефона. Причём тут «достаточно большое количество персональной информации, подтверждающей личность владельца», совсем непонятно. Эта информация никак не связана ни с безопасностью, ни с аутентификацией.

Наконец, последняя фраза «Таким образом, целью экспертов из FIDO и SIG является создание платформы, использующей мобильные устройства по аналогии с USB-ключами безопасности для прохождения аутентификации, к примеру, в Gmail или Facebook». Для начала заметим, что в оригинальном тексте имеется только упоминание Facebook, причём в контексте «более полную информацию о Bluetooth можете получить в Facebook, Twitter, or LinkedIn«. О Gmail, как видите, нет ни слова. Видимо, это привиделось переводчику. Теперь о сути. Доступ к указанным социальным сетям и почте, как правило, осуществляется по паролю. Причём здесь двухфакторная аутентификация?

Поясним, что такое идентификация и чем аутентификация отличается от идентификации. Это два связанных между собой процесса, в которых всегда первична идентификация. Идентификация в качестве начального этапа подразумевает регистрацию, т.е. присвоение субъектам и объектам доступа уникального признака (идентификатора). Собственно идентификацией называется сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов. Аутентификация включает в себя проверку подлинности предъявленного субъектом (объектом) доступа идентификатора с помощью некоторого секрета (аутентификатора) и проверку принадлежности субъекту (объекту) доступа предъявленных им идентификатора и аутентификатора.

Если новость пишется про идентификацию и аутентификацию, автору новости (или уж наверняка редактору портала, на котором планируется публикация новости) неплохо было бы представлять себе, что это такое. А также иметь представление о технологии Bluetooth, которая в широком употреблении абсолютно не защищена. Суть новости состоит в том, что взаимодействие FIDO и SIG может дать широким слоям мобильных пользователей инструменты защиты передачи закрытого ключа пользователя, что, несомненно, послужит на благо ИБ. Как это сделать – предмет отдельной публикации.

Хотелось бы пожелать редактору уважаемого портала securitylab воспринять эту критическую заметку как доброе пожелание успешного продолжения грамотных и интересных публикаций, которые привлекают и будут привлекать к нему широкие слои специалистов ИБ





Добавить комментарий




 

ИД «Connect» © 2015-2017

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика