Bruce Schneier - Bruce Schneier

Bruce Schneier
Bruce Schneier na CoPS2013-IMG 9174.jpg
Bruce Schneier na Kongresie Ochrony Prywatności i Nadzoru (2013) École polytechnique fédérale de Lausanne (EPFL) .
Urodzić się ( 1963-01-15 )15 stycznia 1963 (wiek 58)
Obywatelstwo amerykański
Alma Mater
Znany z Kryptografia , bezpieczeństwo
Kariera naukowa
Pola Informatyka
Instytucje
Strona internetowa www .schneier .com
Podpis
Bruce Schneier-podpis.jpg

Bruce Schneier ( / ʃ n . Ər / ; urodzony 15 stycznia 1963), amerykański kryptolog , bezpieczeństwa komputerowego profesjonalny, prywatność specjalista i pisarz. Schneier jest obecnie wykładowcą polityki publicznej w Harvard Kennedy School oraz członkiem Berkman-Klein Center for Internet & Society. Jest członkiem zarządu Electronic Frontier Foundation, AccessNow i Projektu Tor; oraz członek rady doradczej EPIC i VerifiedVoting.org. Jest autorem kilku książek na tematy ogólne bezpieczeństwa , bezpieczeństwa komputerowego i kryptografii oraz entuzjastą kałamarnic .

Wczesne życie

Bruce Schneier jest synem Martina Schneiera, sędziego Sądu Najwyższego Brooklynu. Dorastał w dzielnicy Flatbush na Brooklynie w stanie Nowy Jork , uczęszczając do PS 139 i Hunter College High School .

Po uzyskaniu tytułu licencjata z fizyki na University of Rochester w 1984 roku, udał się na American University w Waszyngtonie i uzyskał tytuł magistra informatyki w 1988 roku. Otrzymał doktorat honoris causa University of Westminster w Londynie, Anglia w listopadzie 2011 r. Nagroda została przyznana przez Wydział Elektroniki i Informatyki w uznaniu „ciężkiej pracy i wkładu firmy Schneier w przemysł i życie publiczne”.

Schneier był założycielem i dyrektorem ds. technologii w firmie Counterpane Internet Security (obecnie BT Managed Security Solutions ). Pracował dla IBM, gdy przejęli Resilient Systems, gdzie Schneier był CTO, dopóki nie odszedł pod koniec czerwca 2019 r.

Pisma dotyczące bezpieczeństwa komputerowego i ogólnego bezpieczeństwa

W 1991 roku Schneier został zwolniony z pracy i zaczął pisać do magazynów komputerowych. Później postanowił napisać książkę o kryptografii stosowanej, „ponieważ takiej książki nie było”. Wziął swoje artykuły, napisał propozycję do Johna Wileya, a oni ją kupili.

W 1994 roku Schneier opublikował Applied Cryptography , który szczegółowo opisuje projekt, użycie i implementację algorytmów kryptograficznych.

„Ta książka pozwoliła mi pisać więcej, zacząć konsulting, założyć firmy i naprawdę zapoczątkowała mnie jako eksperta w tej dziedzinie, a tak naprawdę było dlatego, że nikt inny nie napisał tej książki. Chciałem ją przeczytać, więc miałem żeby to napisać. I stało się to w naprawdę szczęśliwym czasie, kiedy w Internecie wszystko zaczęło eksplodować”.

W 2010 roku opublikował Cryptography Engineering , który koncentruje się bardziej na tym, jak używać kryptografii w rzeczywistych systemach, a mniej na jej wewnętrznej konstrukcji. Napisał także książki o bezpieczeństwie dla szerszej publiczności. W 2000 roku Schneier opublikował Secrets and Lies: Digital Security in a Networked World ; w 2003 r. Beyond Fear: Myśląc rozsądnie o bezpieczeństwie w niepewnym świecie ; w 2012 r., Liars and Outliers: Enabling the Trust that Society Needs to Prosive ; a w 2015 r. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World .

Schneier pisze bezpłatny comiesięczny biuletyn internetowy na temat komputerów i innych zagadnień związanych z bezpieczeństwem, Crypto-Gram , a także blog dotyczący bezpieczeństwa , Schneier on Security . Blog skupia się na najnowszych zagrożeniach i jego własnych przemyśleniach. Blog rozpoczął się jako sposób na publikowanie esejów, zanim pojawiły się w Crypto-Gramie, umożliwiając innym komentowanie ich, gdy historie były jeszcze aktualne, ale z czasem biuletyn stał się miesięczną e-mailową wersją bloga, ponownie zredagowane i zreorganizowane. Schneier jest często cytowany w prasie o innych kwestiach związanych z bezpieczeństwem komputera i, wskazując na błędy w implementacji kryptograficznych i bezpieczeństwa, począwszy od danych biometrycznych do zabezpieczenia linii lotniczych po atakach z 11 września .

Schneier ujawnił na swoim blogu, że w numerze z grudnia 2004 SIGCSE Biuletynie trzech pakistańskich naukowców, Khawaja Amer Hayat, Umar Waqar Anis i S. Tauseef-ur-Rehman, z Międzynarodowego Uniwersytetu Islamskiego w Islamabadzie , Pakistan , plagiat artykuł napisany przez Schneiera i opublikowany. Ci sami naukowcy następnie dokonali plagiatu innego artykułu Ville Hallivuori na temat „Bezpieczeństwa protokołu transportu w czasie rzeczywistym (RTP)”. Schneier poskarżył się redakcji pisma, co wywołało niewielkie kontrowersje. Redaktor Biuletynu SIGCSE usunął gazetę ze swojej strony internetowej i zażądał oficjalnych listów o przyjęciu i przeprosinach. Schneier zauważył na swoim blogu, że personel Międzynarodowego Uniwersytetu Islamskiego poprosił go o „zamknięcie komentarzy w tym wpisie na blogu”; Schneier odmówił zamknięcia komentarzy na blogu, ale usuwał posty, które uważał za „niespójne lub wrogie”.

Punkty widzenia

Blockchain

Schneier ostrzega przed niewłaściwym zaufaniem do blockchain i brakiem przypadków użycia, nazywając blockchain rozwiązaniem w poszukiwaniu problemu.

„To, co robi blockchain, to przeniesienie części zaufania do ludzi i instytucji na zaufanie do technologii. Musisz ufać kryptografii, protokołom, oprogramowaniu, komputerom i sieci. I musisz im ufać bezwzględnie, ponieważ są często pojedyncze punkty awarii."

„Nigdy nie spotkałem się z uzasadnionym przypadkiem użycia blockchain. Nigdy nie widziałem żadnego systemu, w którym blockchain zapewnia bezpieczeństwo w sposób, którego nie można zapewnić w żaden inny sposób”.

Dodaje, że kryptowaluty są bezużyteczne i są używane tylko przez spekulantów szukających szybkiego bogactwa.

Kryptografia

Dla firmy Schneier, recenzowanie i analiza ekspercka są ważne dla bezpieczeństwa systemów kryptograficznych. Kryptografia matematyczna zwykle nie jest najsłabszym ogniwem w łańcuchu bezpieczeństwa; skuteczne zabezpieczenia wymagają połączenia kryptografii z innymi rzeczami.

Termin prawo Schneiera został ukuty przez Cory'ego Doctorowa w przemówieniu z 2004 roku. Prawo jest sformułowane jako:

Każda osoba może wymyślić system bezpieczeństwa tak sprytny, że nie może wymyślić, jak go złamać.

Przypisuje to Bruce'owi Schneierowi, który napisał w 1998 roku: „Każdy, od najbardziej nieroztropnego amatora do najlepszego kryptografa, może stworzyć algorytm, którego sam nie może złamać. To nawet nie jest trudne. Trudne jest stworzenie algorytmu, który nikt inny nie może się złamać, nawet po latach analiz”.

Podobne odczucia wyrażali już wcześniej inni. W The Codebreakers , David Kahn stwierdza: „Niewiele fałszywe idee mocniej ścisnął umysły tak wielu inteligentnych ludzi, niż w przypadku, gdyby tylko spróbował, mogliby wynaleźć szyfr, że nikt nie mógł złamać”, aw „A Few Words On Secret Writing”, w lipcu 1841 r., Edgar Allan Poe stwierdził: „Niewiele osób może uwierzyć, że nie jest łatwo wynaleźć metodę tajnego pisania, która zbija z tropu śledztwo. że ludzka pomysłowość nie może wymyślić szyfru, którego ludzka pomysłowość nie jest w stanie rozwiązać”.

Schneier ukuł również termin „kryptografia siostry dziecięcej”, pisząc we Wstępie do Kryptografii Stosowanej, że:

Na tym świecie istnieją dwa rodzaje kryptografii: kryptografia, która powstrzyma twoją młodszą siostrę przed odczytaniem twoich plików, oraz kryptografię, która powstrzyma główne rządy przed odczytaniem twoich plików.

Zarządzanie Prawami Cyfrowymi

Schneier krytycznie odnosi się do zarządzania prawami cyfrowymi (DRM) i powiedział, że pozwala to dostawcy na zwiększenie blokady . Właściwa implementacja zabezpieczeń opartych na kontroli dla użytkownika za pośrednictwem zaufanych komputerów jest bardzo trudna, a bezpieczeństwo to nie to samo, co kontrola.

Schneier podkreśla, że ​​„posiadanie danych to inny sposób myślenia o danych”.

Pełne ujawnienie informacji

Schneier jest zwolennikiem pełnego ujawniania , czyli upubliczniania kwestii bezpieczeństwa.

Jeśli badacze nie upubliczniają się, sprawy nie zostają naprawione. Firmy nie postrzegają tego jako problemu bezpieczeństwa; postrzegają to jako problem PR.

Bezpieczeństwo wewnętrzne

Schneier powiedział, że pieniądze z bezpieczeństwa wewnętrznego powinny być wydawane na wywiad , dochodzenia i reagowanie w sytuacjach kryzysowych . Obrona przed szerokim zagrożeniem terroryzmem jest generalnie lepsza niż skupianie się na konkretnych potencjalnych spiskach terrorystycznych. Według Schneiera analiza danych wywiadowczych jest trudna, ale jest jednym z lepszych sposobów radzenia sobie z globalnym terroryzmem. Inteligencja ludzka ma przewagę nad zautomatyzowaną i skomputeryzowaną analizą, a zwiększenie ilości gromadzonych danych wywiadowczych nie pomaga usprawnić procesu analizy. Agencje, które zostały zaprojektowane z myślą o walce z zimną wojną, mogą mieć kulturę, która hamuje dzielenie się informacjami; praktyka dzielenia się informacjami jest ważniejsza i sama w sobie stanowi mniejsze zagrożenie dla bezpieczeństwa, gdy mamy do czynienia z bardziej zdecentralizowanymi i słabo finansowanymi przeciwnikami, takimi jak Al-Kaida.

Odnośnie PETN — materiału wybuchowego, który stał się ulubioną bronią terrorystów — Schneier napisał, że tylko wymazy i psy mogą go wykryć. Uważa on również, że zmiany w bezpieczeństwie lotnisk od 11 września 2001 r. wyrządziły więcej szkody niż pożytku i pokonał Kipa Hawleya , byłego szefa Administracji Bezpieczeństwa Transportu, w debacie internetowej Economist o 87% do 13% w tej sprawie. Powszechnie przypisuje się mu ukucie terminu „ teatr bezpieczeństwa ”, aby opisać niektóre z takich zmian.

Jako członek Berkman Center for Internet & Society na Uniwersytecie Harvarda Schneier bada skrzyżowanie bezpieczeństwa, technologii i ludzi, kładąc nacisk na władzę.

Zagrożenie dla fabuły filmowej

„Zagrożenie fabularne” to termin ukuty przez Schneiera, który odnosi się do bardzo konkretnych i dramatycznych scenariuszy ataków terrorystycznych , przypominających zachowanie terrorystów w filmach, a nie to, co terroryści faktycznie robią w prawdziwym świecie.

Środki bezpieczeństwa stworzone w celu ochrony przed zagrożeniami związanymi z fabułą filmową nie zapewniają wyższego poziomu realnego bezpieczeństwa, ponieważ takie przygotowanie opłaca się tylko wtedy, gdy terroryści wybiorą tę jedną konkretną drogę ataku, co może być nawet niewykonalne. Terroryści w świecie rzeczywistym prawdopodobnie również zauważyliby bardzo specyficzne środki bezpieczeństwa i po prostu zaatakowaliby w inny sposób.

Specyfika zagrożeń fabuły filmowej daje im jednak siłę w publicznej wyobraźni, więc nawet skrajnie nierealne środki zaradcze „ teatru bezpieczeństwa ” mogą uzyskać silne poparcie opinii publicznej i ustawodawców.

Wśród wielu innych przykładów zagrożeń związanych z fabułą filmową Schneier opisał zakaz wjazdu do metra z nosidełkami z obawy, że mogą one zawierać materiały wybuchowe.

Począwszy od kwietnia 2006 roku Schneier organizuje coroczny konkurs na stworzenie najbardziej fantastycznego zagrożenia fabularnego.

Projekt systemu

Schneier skrytykował podejścia do bezpieczeństwa, które próbują zapobiegać wszelkim złośliwym atakom, zamiast tego argumentując, że ważniejsze jest projektowanie systemów tak, aby działały prawidłowo . Projektant systemu nie powinien lekceważyć możliwości atakującego, ponieważ technologia może umożliwić w przyszłości robienie rzeczy, które nie są możliwe w chwili obecnej. Zgodnie z Zasadą Kerckhoffsa potrzeba, aby jedna lub więcej części systemu kryptograficznego pozostała tajna, zwiększa jego kruchość; to, czy szczegóły dotyczące systemu powinny zostać zatajone, zależy od dostępności osób, które mogą wykorzystać informacje w celach korzystnych, w porównaniu z możliwością niewłaściwego wykorzystania informacji przez atakujących.

Tajemnica i bezpieczeństwo to nie to samo, choć może się tak wydawać. Tylko złe bezpieczeństwo opiera się na tajemnicy; dobre zabezpieczenia działają, nawet jeśli wszystkie szczegóły są upublicznione.

Algorytmy kryptograficzne

Schneier był zaangażowany w tworzenie wielu algorytmów kryptograficznych.

Publikacje

  • Schneiera, Bruce'a. Kryptografia stosowana , John Wiley & Sons, 1994. ISBN  0-471-59756-2
  • Schneiera, Bruce'a. Chroń swojego Macintosha , Peachpit Press, 1994. ISBN  1-56609-101-2
  • Schneiera, Bruce'a. Bezpieczeństwo poczty , John Wiley & Sons, 1995. ISBN  0-471-05318-X
  • Schneiera, Bruce'a. Kryptografia stosowana , wydanie drugie, John Wiley & Sons, 1996. ISBN  0-471-11709-9
  • Schneiera, Bruce'a; Kelsey, John; Witlinek, Doug; Wagnera, Dawida; Hall, Chris; Fergusona, Nielsa. Twofish Encryption Algorithm , John Wiley & Sons, 1996. ISBN 0-471-35381-7 
  • Schneiera, Bruce'a; Banisara, Dawida. Elektroniczne dokumenty dotyczące prywatności , John Wiley & Sons, 1997. ISBN  0-471-12297-1
  • Schneiera, Bruce'a. Sekrety i kłamstwa: bezpieczeństwo cyfrowe w świecie sieciowym , John Wiley & Sons, 2000. ISBN  0-471-25311-1
  • Schneiera, Bruce'a. Beyond Fear: Myślenie rozsądnie o bezpieczeństwie w niepewnym świecie , Copernicus Books, 2003. ISBN  0-387-02620-7
  • Ferguson, Niels; Schneiera, Bruce'a. Kryptografia praktyczna , John Wiley & Sons, 2003. ISBN  0-471-22357-3
  • Schneiera, Bruce'a. Sekrety i kłamstwa: bezpieczeństwo cyfrowe w świecie sieciowym , John Wiley & Sons, 2004. ISBN  978-0-471-45380-2
  • Schneiera, Bruce'a. Schneier o bezpieczeństwie , John Wiley & Sons, 2008. ISBN  978-0-470-39535-6
  • Fergusona, Nielsa; Schneiera, Bruce'a; Kohno, Tadayoshi. Inżynieria kryptograficzna , John Wiley & Sons, 2010. ISBN  978-0-470-47424-2
  • Schneiera, Bruce'a. Liars and Outliers : Włączenie zaufania, że ​​społeczeństwo musi się rozwijać , John Wiley & Sons, 2012. ISBN  978-1-118-14330-8
  • Schneiera, Bruce'a. Carry On: Sound Advice od Schneier on Security , John Wiley & Sons, 2013. ISBN  978-1118790816
  • Schneiera, Bruce'a. Data and Goliath: The Hidden Battles, aby zbierać dane i kontrolować swój świat , WW Norton & Company , 2015. ISBN  978-0-393-24481-6
  • Schneiera, Bruce'a. Kliknij tutaj, aby zabić wszystkich : Bezpieczeństwo i przetrwanie w hiperpołączonym świecie , WW Norton & Company , 2018. ISBN  978-0-393-60888-5

Aktywizm

Schneier jest członkiem zarządu Electronic Frontier Foundation .

Zobacz też

Bibliografia

Zewnętrzne linki