Loading...
V hlavní roli bezpečnost
seriál jednoduchých úvah o složitých problémech

ENIGMA

Co přispělo k prolomení Enigmy? Lidská lenost!

Co je největší hrozbou pro každý informační systém? Jeho uživatelé!

Uživatelé mohou svým jednáním a chováním eliminovat také bezpečnostní opatření, která se jinak zdají téměř „neprůstřelná“. Šifrovací systém Enigma, který byl považován za neprolomitelný, byl překonán také díky rutinám jeho operátorů, šifrantů německých ozbrojených sil. Přestože měli nařízené chování a postupy práce s Enigmou, dopouštěli se chyb, které v konečném důsledku pomohly odkrýt tajemství.

Jakých omylů se tedy operátoři dopouštěli? Jaká byla rutina šifrování německých operátorů? Použili knihu kódů a nastavili Enigmu na tzv. denní šifrovací klíč (pro každý den byl jiný). Následně zvolili tři náhodné znaky, které zašifrovali a poslali svým protějškům, ti je poté dešifrovali podle odpovídajícího denního klíče. Tyto tři náhodné znaky pak sloužily jako šifrovací klíč pro dané spojení. Denní šifrovací klíč byl tak chráněn před kompromitací (odposlech sice obsahoval velké množství zpráv, ty však byly velmi krátké a bez kontextu). Potud by to tedy bylo bezpečné. K čemu však často docházelo? Operátoři byli líní vymýšlet si pro každé spojení nové náhodné znaky, proto je na klávesnici zadávali v individuálním vzoru, šlo tedy o něco podobného, jako je zcela náhodná sekvence „qwerty“. Po nějaké době nemohla být o náhodnosti ani řeč. Kryptoanalýza pak umožňovala pracovat s konkrétním předpokladem a přispěla k prolomení Enigmy, která se na počátku 2. světové války zdála nezdolná.

Tato chyba samozřejmě nestojí za prolomením kódu Enigmy sama. Zcela zásadní byla práce polských spojenců, vývoj počítacích strojů Bombe a Colossus, geniální mysl Alana Turinga a práce mnoha bezejmenných kryptoanalytiků a matematiků Bletchley Parku. Nicméně se jedná o ukázku toho, že lidé svou činností mohou způsobit trhliny v mnoha bezpečnostních systémech.

Nejslabším článkem je tedy člověk! Uživatel, který použije jednoduché heslo, otevře odkaz v e-mailu nebo navštíví webovou stránku. Byť se jedná o hrozbu největší, její eliminace je bohužel práce nejtěžší. Není snadné vytvořit v uživatelích bezpečnostní povědomí, není jednoduché změnit jejich chování. Uživatel by měl pochopit, proč se co dělá a měl by si uvědomit, že hrozby jsou skutečně reálné. Aby se tak stalo, je nezbytné ukazovat uživatelům skutečné příklady a předvést, co a jak konkrétně se může stát. Potom je snad možné najít kompromis mezi bezpečnostními restrikcemi a uživatelským komfortem.

Luděk Mandok
bezpečnostní analytik