Czy otwarte znaczy bezpieczne?
Czy otwarte znaczy bezpieczne?
Czy otwarte znaczy bezpieczne?
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?<br />
czyli<br />
o bezpieczeństwie<br />
wolnego oprogramowania.<br />
dr inż. Bartosz Sawicki<br />
Politechnika Warszawska<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Otwarte jest <strong>bezpieczne</strong><br />
Specjaliści na świecie zgadzają się:<br />
– Tak, <strong>otwarte</strong> jest <strong>bezpieczne</strong> !<br />
Niektórzy twierdzą nawet, że:<br />
– tylko <strong>otwarte</strong> oprogramowanie może być<br />
<strong>bezpieczne</strong>.<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Jak to możliwe?<br />
Jak to? Przecież:<br />
– Otwarty samochód nie jest bezpieczny.<br />
– Nie zostawiamy <strong>otwarte</strong>go mieszkania.<br />
Oczywiście, ale:<br />
– Otwarte używamy w innym znaczeniu.<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Jak to możliwe?<br />
Co oznacza <strong>otwarte</strong>?<br />
– Otwarty odnosi się do algorytmu,<br />
urządzenia, oprogramowania.<br />
– Zamknięty jest dostęp do dokumentów i<br />
danych.<br />
Jak zamknąć dostęp, jeśli zabezpieczenia<br />
są wszystkim znane ?<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Jak to możliwe?<br />
Niezbędny jest klucz<br />
– Klucz jest tajny, schowany przed obcymi.<br />
– Klucz jest gwarancją bezpieczeństwa.<br />
– Przykłady kluczy:<br />
●<br />
●<br />
●<br />
●<br />
klucz do kłódki,<br />
PIN do karty płatniczej,<br />
hasło do komputera,<br />
kod do skrytki bankowej.<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Zasada Kerckhoffsa<br />
Auguste Kerckhoffs (1835 – 1903)<br />
– La Cryptographie Militaire (1883)<br />
“Il faut qu’il n’exige pas le secret, et qu’il<br />
puisse sans inconvénient tomber entre les<br />
mains de l’ennemi”<br />
System kryptograficzny nie powinien być<br />
utajniany, wtedy bowiem jego przejęcie przez<br />
wroga nie przysporzy problemów.<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Dodatkowe przyczyny<br />
Dlaczego <strong>otwarte</strong> jest lepsze?<br />
1.Zasada ograniczonego zaufania<br />
2.Bezpieczeństwo, a ekonomia<br />
3.Bezpieczeństwo, a błędy programistów<br />
4.Otwarta baza wiedzy<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Ograniczone zaufanie<br />
●<br />
●<br />
●<br />
●<br />
Dlaczego ufać twórcom zamkniętego<br />
oprogramowania?<br />
Chcemy móc sprawdzić samemu!<br />
Łatwiej zaufać tysiącom niezależnych,<br />
programistów, niż jednej firmie.<br />
Pełny audyt bezpieczeństwa jest<br />
bardzo drogi.<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Bezpieczeństwo, a ekonomia<br />
●<br />
Stworzenie dobrego systemu byłoby<br />
bardzo drogie, bo:<br />
– kryptografia jest trudna,<br />
– zabezpieczenia mają krytyczne znaczenie.<br />
●<br />
System wymaga ciągłego<br />
udoskonalania, czyli koszty stale<br />
rosną.<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Błędy programistów<br />
Większość problemów bezpieczeństwa wynika<br />
z błędów programistów.<br />
Popularne, <strong>otwarte</strong> oprogramowanie jest<br />
przeglądane przez tysiące specjalistów.<br />
Łatwiej znajdywane są błędy i ich poprawa<br />
jest bardzo szybka.<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Otwarta baza wiedzy<br />
●<br />
●<br />
●<br />
Popularne projekty 'open source' to<br />
wielka baza wiedzy.<br />
Zgromadzeni wogół nich ludzie<br />
gwarantują stabilność rozwoju.<br />
Im większy i szerzej używany program,<br />
tym większe bezpieczeństwo<br />
korzystania z niego.<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Przykład: Apache<br />
●<br />
●<br />
●<br />
Globalna sieć to nie<strong>bezpieczne</strong><br />
miejsce.<br />
Serwer stron WWW, który ma 70%<br />
rynku, to właśnia program Apache.<br />
Przykład <strong>otwarte</strong>go oprogramowania,<br />
które zdominowało Internet.<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Przykład: OpenSSL<br />
●<br />
●<br />
Popularnie wykorzystywany w<br />
bezpiecznych połączeniach w Internecie<br />
– Banki internetowe, płatności on-line<br />
Zapewnia:<br />
– szyfrowanie,<br />
– kontrola spójności danych<br />
– potwierdzanie tożsamości.<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
W administracji<br />
W Europie:<br />
– Komisja Europejska (IDABC), Open<br />
Source Observatory: wiele raportów m.in.<br />
o bezpieczeństwie<br />
– Niemcy, Biuro Federalne ds.<br />
Bezpieczeństwa Informacji: migracja<br />
urzędu w latach 2002-2005<br />
– Wielka Brytania, Department Handlu i<br />
Przemysłu: finansowanie projektu Secure<br />
Open Source Desktop (czerwiec 2005)<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
W administracji<br />
W USA:<br />
– National Security Agency: Security<br />
Enhanced Linux 2000-2005<br />
W Polsce:<br />
– ABW Departament Bezpieczeństwa<br />
Teleinformatycznego:brak wytycznych<br />
odnośnie <strong>otwarte</strong>go oprogramowania<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Podsumowanie<br />
●<br />
Wolne oprogramowanie ma wiele cech,<br />
które powodują, że może ono<br />
skutecznie pilnować bezpieczeństwa.<br />
●<br />
W tej chwili <strong>otwarte</strong> programy chronią<br />
ważne dane na całym świecie.<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?
Kontakt:<br />
dr inż. Bartosz Sawicki<br />
sawickib@iem.pw.edu.pl<br />
Politechnika Warszawska<br />
Bartosz Sawicki: <strong>Czy</strong> <strong>otwarte</strong> <strong>znaczy</strong> <strong>bezpieczne</strong>?