ROZDZIAŁ 15Nadzór nad bronią jądrową
W Niemczech i Turcji byli świadkami szczególnie niepokojących scen. Na pasie startowym stał niemiecki (lub turecki) samolot szybkiego reagowania, uzbrojony w broń jądrową i z zagranicznym pilotem w kokpicie. Samolot był gotowy do startu przy jakimkolwiek zagrożeniu, a broń jądrowa była w pełni sprawna. Jedynym dowodem nadzoru ze strony Stanów Zjednoczonych był stojący na płycie lotniska, samotny, 18-letni wartownik uzbrojony w karabin. Kiedy zapytano wartownika na niemieckim lotnisku, jak zamierza sprawować nadzór nad bronią jądrową, gdyby pilot nagle zdecydował się na start (albo przez osobisty kaprys, albo na rozkaz niemieckiego dowództwa z pominięciem dowództwa Stanów Zjednoczonych), odpowiedział, że strzelałby do pilota. Agnew polecił mu strzelać do bomby.
- Jerome Wiesner, składając sprawozdanie prezydentowi Kennedy'emu w sprawie dowodzenia i nadzoru nad bronią jądrową po kryzysie kubańskim
15.1. Wprowadzenie
Katastrofalne szkody, które mogą wyniknąć z nieupoważnionego użycia broni jądrowej lub z rozprzestrzeniania się technologii jądrowej, skłoniły Stany Zjednoczone i inne mocarstwa atomowe do wydawania kolosalnych kwot na ochronę nie tylko głowic jądrowych, ale także infrastruktury wspierającej, przemysłu i materiałów. Kontrola zbrojeń nuklearnych stanowi podstawę międzynarodowej dyplomacji: podczas gdy Korea Północna dysponuje już teraz bombą, RPA i Libia zostały przekonane do jej oddania, program Iranu został zatrzymany (zarówno środkami dyplomatycznymi, jak i cybernetycznymi), zaś programy broni masowego rażenia Iraku i Syrii zostały zakończone w sposób siłowy.
Opublikowano zaskakującą ilość wiedzy na temat bezpieczeństwa jądrowego. W praktyce istnieją ograniczenia co do tego, ile można utrzymać w tajemnicy, nawet jeśli uznano by to za pożądane. Wiele krajów jest w stanie wyprodukować broń jądrową, ale zdecydowało się tego nie robić (Japonia, Australia, Szwajcaria, ...), natomiast utrzymują nadzór nad materiałami jądrowymi w kontekście cywilnym. Duża część wysiłków w zakresie nierozprzestrzeniania broni ma podłoże kulturowe, budowane przez lata dzięki dyplomacji i powściągliwości mocarstw nuklearnych, które od 1945 roku zakazały używania tej broni nawet w obliczu potencjalnej klęski z rąk państw niejądrowych. Potwierdzają to umowy międzynarodowe, takie jak Układ o nierozprzestrzenianiu broni jądrowej i Konwencja o fizycznej ochronie materiałów jądrowych [951], egzekwowane przez Międzynarodową Agencję Energii Atomowej, MAEA (ang. International Atomic Energy Agency, IAEA).
Każdego roku reaktory cywilne produkują około dziesięciu ton plutonu, a jeśli rasa ludzka ma na dłuższą metę wykorzystywać energię jądrową, będziemy go zużywać w reaktorach, a także wytwarzać jako efekt uboczny przetwarzania uranu. Musimy więc strzec tych rzeczy w sposób, który wzbudzi międzynarodowe zaufanie - nie tylko między rządami, lecz także wśród coraz bardziej sceptycznej opinii publicznej[1].
Z programu nuklearnego wyodrębniła się szeroka gama technologii zabezpieczeń. Zajmujące się uzbrojeniem laboratoria Departamentu Energii Stanów Zjednoczonych - w Sandii, Lawrence Livermore i Los Alamos - pracowały przez dwa pokolenia, aby broń i materiały jądrowe były tak bezpieczne, jak to tylko możliwe. Wspomniałem już o niektórych, bardziej prozaicznych, ubocznych wynikach ich prac, od odkrycia, że hasła składające się z więcej niż dwunastu cyfr nie nadawały się do użytku w warunkach pola walki, po wysokiej klasy systemy alarmowe. Sztuczka polegająca na owijaniu światłowodu wokół urządzeń, które mają być chronione, i wykorzystywaniu efektów interferencji do wykrywania zmiany długości mniejszej niż mikron została zaprojektowana do owijania głowic bojowych znajdujących się w uzbrojeniu i bezbłędnego alarmowania, jeśli któraś z nich zostanie poruszona.
W kolejnych rozdziałach zobaczymy jeszcze więcej technologii pochodzenia nuklearnego. Na przykład rozpoznawanie tęczówki - najdokładniejszy system związany z biometryczną identyfikacją osób, obecnie używany w indyjskim systemie potwierdzania tożsamości Aadhaar - został opracowany przy użyciu funduszy Departamentu Energii Stanów Zjednoczonych w celu kontrolowania dostępu do magazynu plutonu. Znaczna część wiedzy specjalistycznej w zakresie odporności na manipulacje i technologii wykrywania manipulacji wyewoluowała, aby zapobiegać nadużyciom związanym z kradzieżą broni czy urządzeń kontrolujących. Po 11 września Stany Zjednoczone i ich sojusznicy podjęli wiele stanowczych kroków w celu ograniczenia rozprzestrzeniania broni jądrowej. Obejmowały one:
(1) inwazję na Irak w marcu 2003 roku, której casus belli było stwierdzenie, że Irak posiada broń masowego rażenia;
(2) porozumienie z Libią z grudnia 2003 roku o rezygnacji z jej programu zbrojeniowego;
(3) ujawnienie w 2004 roku, że Abdul Qadeer Khan (doświadczony naukowiec zajmujący się programem nuklearnym Pakistanu) pomógł wielu innym krajom, w tym Syrii, Libii, Iranowi i Korei Północnej, zdobyć technologię zbrojeniową, oraz rozbicie jego siatki;
(4) izraelską operację "Outside the Box", w ramach której 6 września 2007 roku zbombardowano domniemany syryjski reaktor w pobliżu Deir-ez-Zor;
(5) porozumienie nuklearne z Iranem z 2015 roku, na mocy którego Iran uzgodnił ze Stanami Zjednoczonymi, Wielką Brytanią, Rosją, Chinami, Francją, Niemcami i Unią Europejską wstrzymanie swojego programu zbrojeniowego.
Nie wszystkie wysiłki zakończyły się sukcesem. Oczywistym przykładem jest Korea Północna, która w 1994 roku podpisała traktat ze Stanami Zjednoczonymi o wstrzymaniu rozwoju broni w zamian za dostawy ropy i pomoc w rozwoju cywilnej energetyki jądrowej. Załamało się to w 2003 roku, po czym Pjongjang wycofał się z Układu o nierozprzestrzenianiu broni jądrowej i zaczął ją rozwijać. Ta historia budzi w wielu ludziach obawy co do możliwych długofalowych skutków zerwania przez administrację Trumpa w 2018 roku porozumienia z Iranem (mimo że Iran go przestrzegał). Do tego dochodzi jeszcze wycofanie się w 2019 roku Stanów Zjednoczonych z Traktatu o całkowitej likwidacji pocisków rakietowych krótkiego i średniego zasięgu zawartego ze Związkiem Radzieckim (chociaż było to spowodowane złamaniem postanowień traktatu przez Rosję, a także fakt, że traktat New START, podpisany w 2010 roku przez Baracka Obamę, wygaśnie w lutym 2021 roku, chyba że Ameryka wybierze w listopadzie 2020 roku prezydenta, który zgodzi się go odnowić.
Nadzór nad materiałami jądrowymi dotyczy nie tylko głowic bojowych i materiałów rozszczepialnych wymaganych do ich budowy. Po 11 września dowiedzieliśmy się, że Al-Kaida mówiła o "brudnej bombie" - ładunku, który mógłby rozproszyć materiały radioaktywne nad dzielnicą miasta. Być może nikogo by nie zabiła, ale mogłaby wywołać panikę, a w centrum finansowym - spowodować wielkie szkody gospodarcze. W 2007 roku śledczy GAO[I] założyli fałszywą firmę i od urzędu dozoru jądrowego (Nuclear Regulatory Commission) uzyskali licencję umożliwiającą im zakup izotopów. Licencja została wydrukowana na zwykłym papierze. Śledczy zmodyfikowali ją, aby zmienić ilość materiałów, które mogli zakupić, a następnie wykorzystali do zamówienia dziesiątek mierników gęstości gruntu zawierających ameryk-241 i cez-137, które mogły zostać użyte w brudnej bombie [1114]. Z powodu obawy przed terroryzmem nadzór nad materiałami jądrowymi w gospodarce został rozszerzony i zaostrzony.
Bezpieczeństwo jądrowe nieustannie uczy nas, gdzie są granice pewności. Na przykład kuszące jest założenie, że jeśli prawdopodobieństwo wystąpienia pewnego działania (którego nie chcemy, aby miało miejsce) w wyniku błędu ludzkiego wyniesie 1 na 10, to poprzez zaangażowanie do przeprowadzenia kontroli pięciu różnych osób może zmniejszyć je do 1 na 100 tys. Taki był też tok myślenia w siłach powietrznych Stanów Zjednoczonych. Jednak w październiku 2007 roku sześć amerykańskich bomb wodorowych zaginęło na 36 godzin po tym, jak samolot przewożący pociski manewrujące z bazy sił powietrznych Minot w Północnej Dakocie do Barksdale w Luizjanie został omyłkowo załadowany sześcioma pociskami z uzbrojonymi głowicami. Wszystkie pociski powinny zostać sprawdzone z wykazem (który był nieaktualny) przez osoby pracujące w magazynie, następnie przez personel naziemny oczekujący na zakończenie inspekcji przed przemieszczeniem jakichkolwiek pocisków (nie zrobiono tego), przez obsługę naziemną sprawdzającą pociski (nie spojrzeli przez szklane iluminatory, żeby zobaczyć, czy głowice są uzbrojone, czy to atrapy), przez kierowcę podającego numery identyfikacyjne do centrum kontroli (nikt tam nie zadał sobie trudu ich weryfikacji), wreszcie przez nawigatora podczas przeprowadzania przez niego kontroli przed lotem (nie spojrzał na skrzydło z uzbrojonymi pociskami). Samolot wystartował, poleciał do Luizjany, wylądował i stał niestrzeżony na pasie startowym przez dziewięć godzin, zanim przybyła obsługa naziemna, aby wyładować pociski i wtedy odkryła, że są one uzbrojone [188, 549]. Pokazuje to jedno z ograniczeń współdzielonego nadzoru. Ludzie będą polegać na innych i odpuszczać - lekcja znana również w świecie bezpieczeństwa medycznego. W rzeczywistości, w przypadku Sił Powietrznych Stanów Zjednoczonych okazało się, że lotnicy zastąpili oficjalne procedury własną "nieformalną" listą kontrolną. Jak więc projektować systemy, które nie będą zawodzić w ten sposób?
W tym rozdziale opisuję kontekst bezpieczeństwa jądrowego i niektóre sztuczki, które mogą znaleźć zastosowanie (lub stwarzać zagrożenie) gdzie indziej. Zostały one pozyskane ze źródeł publicznych - ale mimo tego można wyciągnąć przydatne wnioski.
15.2. Ewolucja dowodzenia i nadzoru
Pierwszą bombą atomową użytą w walce była bomba "Little Boy" zrzucona na Hiroszimę. Jej zabezpieczenia było nieco improwizowane. Wyposażono ją w trzy detonatory. Podczas wzbijania się samolotu w powietrze operator uzbrojenia miał wymienić zielone atrapy detonatorów na czerwone, prawdziwe. Powodem tego było to, że wiele mocno obciążonych B-29 rozbiło się podczas startu z Tinian, bazy, z której korzystano. Operator uzbrojenia maszyny Enola Gay, kapitan marynarki wojennej Deak Parsons, przypuszczał, że gdyby samolot się rozbił, zapalnik mógłby spowodować eksplozję, detonując bombę i niszcząc wyspę. Dzień przed nalotem spędził więc na ćwiczeniu zdejmowania i ponownego zakładania spłonki - ładunku prochu wielkości bochenka chleba - aby mógł z powodzeniem zrobić to po starcie.
Obecnie doktryna raczej odeszła od improwizacji, a nawet można powiedzieć, że aktualnie jesteśmy raczej na drugim biegunie, z mechanizmami i procedurami testowanymi, ćwiczonymi, analizowanymi i wyuczonymi przez wielu ekspertów z różnych agencji. To był proces ewolucyjny. Kiedy w latach 50. XX wieku zaczęto przewozić broń w jednomiejscowych samolotach taktycznych i podwieszać ją pod skrzydłami, a nie w komorze bombowej, ręczne włożenie pojemnika z prochem nie było już możliwe. Zaczęto korzystać z zamków szyfrowych: pilot uzbrajał bombę po starcie, wprowadzając sześciocyfrowy kod na specjalnej klawiaturze z przewodową plombą. Umożliwiło to pewien centralny nadzór - pilot mógł otrzymać kod dopiero po wzniesieniu się w powietrze. Ale zarówno kontrole techniczne, jak i proceduralne w latach 50. XX wieku były prymitywne.
15.2.1. Memorandum Kennedy'ego
Kryzys kubański zmienił wszystko. 27 października 1962 roku radziecki B-59, dieslowo-elektryczny okręt podwodny typu Foxtrot, został zaatakowany, gdy amerykańska grupa bojowa składająca się z lotniskowca USS Randolph i 11 niszczycieli zaczęła zrzucać w jego pobliżu bomby głębinowe. Były to pociski ćwiczebne, zrzucone w celu wypchnięcia okrętu podwodnego na powierzchnię w celu jego identyfikacji. Jednak kapitan statku, Valentin Savitsky, myślał, że jest atakowany i że rozpoczęła się wojna, więc powinien wystrzelić torpedę nuklearną, aby zniszczyć lotniskowiec. Ale można to było zrobić tylko wtedy, gdy trzej wyżsi oficerowie na pokładzie zgodzili się, a na szczęście jeden z nich, Wasilij Arkhipow, odmówił. W końcu okręt podwodny wynurzył się, a później powrócił do Związku Radzieckiego.
To sprawiło, że ryzyko przypadkowego wybuchu wojny światowej stało się istotne dla amerykańskich decydentów. Prezydent Kennedy nakazał zbadanie sprawy swojemu doradcy naukowemu, Jerome'owi Wiesnerowi. Wiesner poinformował, że mnóstwo amerykańskiej broni jądrowej rozmieszczono w krajach sojuszniczych, takich jak Grecja i Turcja, w których sytuacja nie była stabilna i które czasami toczyły ze sobą walki. Broń ta była chroniona przez symboliczne amerykańskie siły zabezpieczające, więc nie było fizycznego powodu, dla którego broń nie mogłaby zostać przejęta w czasie kryzysu. Pojawiły się również obawy związane z nieautoryzowanym użyciem broni nuklearnej przez amerykańskich oficerów - na przykład, gdyby miejscowy dowódca będąc pod presją uznał, że "gdyby tylko wiedzieli w Waszyngtonie, jak źle się tu sprawy mają, pozwoliliby nam użyć bomby". Fragment cytowany na początku tego rozdziału znajdziemy w [1828].
Odpowiedzią Kennedy'ego było Memorandum w Sprawie Obrony Narodowej nr 160 [218]. Nakazało ono, aby 7 tys. amerykańskich pocisków nuklearnych, które zostały rozproszone przez dowództwo NATO, znalazło się pod pozytywnym nadzorem Stanów Zjednoczonych przy użyciu środków technicznych, niezależnie od tego, czy znajdowały się pod kontrolą sił amerykańskich, czy sojuszniczych. Chociaż ta polityka została sprzedana Kongresowi jako ochrona amerykańskiej broni nuklearnej przed obcymi, to w rzeczywistości na szczycie listy Wiesnera były obawy o szalonego "dr. Strangelove" (czyli w rzeczywistości osoby pokroju kapitana Savitsky'ego).
Departament Energii Stanów Zjednoczonych pracował już nad urządzeniami zabezpieczającymi broń. Zanim broń mogła zostać uzbrojona, podstawową zasadą była konieczność wykrycia wyjątkowego aspektu otoczenia. W tym celu na przykład głowice rakietowe i niektóre bomby musiały doświadczyć zerowej grawitacji, podczas gdy pociski artyleryjskie musiały doświadczyć przyspieszenia rzędu tysięcy g. Był jeden wyjątek: miny jądrowe. Są one przeznaczone do umieszczania w celach przez wojska lądowe i detonowania za pomocą zapalników czasowych. Wydaje się, że nie ma możliwości zastosowania specjalnego czujnika otoczenia, który zapobiegałby przypadkowej lub złośliwej detonacji.
Opracowywanym wówczas rozwiązaniem był tajny kod uzbrajający, który aktywował elektromagnetyczny zamek umieszczony głęboko w plutonowym rdzeniu w sercu broni. Głównym problemem inżynieryjnym była konserwacja. Po odsłonięciu zamka, na przykład w celu wymiany zasilania, kod mógłby zostać ujawniony. Dlatego nie do zaakceptowania było posiadanie tego samego kodu w każdym egzemplarzu broni. Jedną z możliwości były kody grupowe - kody odpalania wspólne tylko dla niewielkiej partii głowic.
Po memorandum Kennedy'ego zaproponowano, aby wszystkie bomby atomowe były chronione za pomocą zamków z kodem i aby istniało polecenie oznaczające "uniwersalne odblokowanie", które mógłby wysłać tylko prezydent lub jego następcy prawni. Problem polegał na znalezieniu sposobu na bezpieczne przetłumaczenie tego kodu na dużą liczbę indywidualnych kodów uzbrajających, z których każdy dotyczył niewielkiej partii broni. Problem nasilił się w latach 60. i 70. XX wieku, kiedy doktryna zmieniła się z masowego odwetu na "wyważoną reakcję". Zamiast uzbrajać całą broń nuklearną lub nie uzbrajać żadnej, prezydent musiał teraz mieć możliwość wydania rozkazu uzbrajania wybranych partii (jak "cała broń nuklearna w Niemczech"). To prowadzi nas do systemu o sporej złożoności, zwłaszcza gdy zdamy sobie sprawę, że potrzebujemy również kodów rozbrajających do celów konserwacyjnych i pewnych sposobów wyboru kompromisów między zapewnieniem bezpieczeństwa broni a skutecznym dowodzeniem.
15.2.2. Autoryzacja, otoczenie, zamiar
Istotne pytanie dotyczyło polityki zabezpieczeń związanej z systemami bezpieczeństwa jądrowego i systemami dowodzenia. W Stanach Zjednoczonych pojawiła się zasada "autoryzacja, otoczenie, zamiar". Aby głowica wybuchła, muszą być spełnione trzy warunki.
Autoryzacja: użycie danej broni musi być zatwierdzone przez krajowy organ dowodzenia (tj. prezydenta lub jego prawnych następców).
Otoczenie: broń musiała wyczuć odpowiedni aspekt otoczenia. (W przypadku min jądrowych wymóg ten został zastąpiony użyciem specjalnego pojemnika).
Zamiar: oficer dowodzący statkiem powietrznym, okrętem lub inną jednostką musi jednoznacznie wydać polecenie użycia broni.
We wczesnych systemach "autoryzacja" oznaczała wprowadzenie do ładunku czterocyfrowego kodu autoryzacyjnego.
Sposób sygnalizowania "zamiaru" zależał od platformy. Samoloty zwykle używają sześciocyfrowego kodu uzbrojenia lub kodu "kontroli możliwości użycia". Konsole dowodzenia dla międzykontynentalnych pocisków balistycznych są obsługiwane przez dwóch oficerów, z których każdy musi wprowadzić i przekręcić klucz, aby wystrzelić rakietę. Niezależnie od wdrożenia musi istnieć jednoznaczny sygnał. Uważa się, że 22 bity pochodzące z sześciocyfrowego kodu stanowią dobry kompromis między wieloma czynnikami, od użyteczności po minimalizację ryzyka przypadkowego uzbrojenia [1351].
15.3. Bezwarunkowo bezpieczne uwierzytelnianie
Dowodzenie związane z użyciem broni jądrowej i nadzór nad nią doprowadziły do rozwoju teorii jednorazowych kodów uwierzytelniających. Jak opisałem w rozdziale 5, "Kryptografia", są one podobne w koncepcji do kluczy testowych wynalezionych do ochrony telegraficznych przekazów pieniężnych, ponieważ komunikat poddawany był przekształceniom za pomocą klucza w celu uzyskania krótkiego kodu uwierzytelniającego, znanego również jako poświadczenie lub znacznik. Ponieważ kluczy używa się tylko raz, kody uwierzytelniające mogą być bezwarunkowo bezpieczne, ponieważ zapewniana przez nie ochrona jest niezależna od zasobów obliczeniowych dostępnych dla atakującego. Robią więc dla uwierzytelnienia to, co szyfr z kluczem jednorazowym dla poufności.
Przypomnijmy, że wciąż musimy wybrać długość kodu, aby ograniczyć prawdopodobieństwo pomyślnego odgadnięcia. Może to wyglądać inaczej w zależności od tego, czy przeciwnik próbował odgadnąć prawidłowy komunikat od podstaw (naśladownictwo), czy też zmodyfikował istniejący poprawny komunikat, aby uzyskać inny (podstawienie). W trybie działania GCM, omówionym w rozdziale 5, jest on ustawiony na 2128, ale nie musi tak być.
Powinien to wyjaśnić przykład. Załóżmy, że dowódca uzgodnił z podwładnym schemat uwierzytelniania, zgodnie z którym rozkaz będzie zakodowany jako trzycyfrowa liczba z zakresu od 000 do 999. Polecenie może mieć dwie wartości: "Atakować Rosję" i "Atakować Chiny". Jedno z nich zostanie zakodowane jako liczba parzysta, a drugie jako liczba nieparzysta - będą one częścią tajnego klucza. Autentyczność komunikatu zostanie potwierdzona, gdy jej reszta z dzielenia przez 337 będzie równa tajnej liczbie, która jest drugą częścią klucza.
Załóżmy, że kluczem jest:
- liczba parzysta dla rozkazu "Atakować Rosję" lub liczba nieparzysta dla "Atakować Chiny";
- wiadomość jest autentyczna, gdy reszta z jej dzielenia przez 337 jest równa 12.
Tak więc "Atakować Rosję" to "686" (lub "12"), a "Atakować Chiny" to "349".
Wróg, który przejął kanał komunikacyjny między dowódcą a podwładnym i który zna schemat, natomiast nie zna klucza, ma tylko 1 na 337 szans na udane podszycie się pod dowódcę. Kiedy jednak przechwyci ważny komunikat (powiedzmy "12" dla "Atakować Rosję"), może łatwo zmienić go na inny, dodając 337, a więc (o ile zrozumiał intencje dowódcy) może wysłać pociski na inne państwo. Tak więc prawdopodobieństwo udanego ataku przez podstawienie w tym przypadku wynosi 1.
Podobnie jak w przypadku obliczeniowo bezpiecznego uwierzytelniania bezwarunkowa różnorodność może, ale nie musi, zapewnić poufności komunikatu: może działać jak szyfr blokowy lub jak kod uwierzytelniania komunikatu na zwykłym tekście. Podobnie, może, ale nie musi, korzystać z arbitra. Można nawet wymagać wielu arbitrów, aby nie trzeba było im ufać indywidualnie. Schematy mogą również łączyć bezpieczeństwo bezwarunkowe i obliczeniowe. Na przykład bezwarunkowy kod bez poufności mógłby mieć dodaną poufność obliczeniowo bezpieczną przez proste zaszyfrowanie komunikatu i uwierzytelnienia przy użyciu konwencjonalnego systemu szyfrowania.
Uwierzytelnianie jest w pewnym sensie podwójnym szyfrowaniem, ponieważ w tym drugim przypadku, mając niepoprawny komunikat, chcemy skutecznie znaleźć najbliższy poprawny. W pierwszym przypadku chcemy, aby znalezienie poprawnego komunikatu było niemożliwe, chyba że już go widzieliśmy lub jesteśmy upoważnieni do jego skonstruowania. I tak jak projektant kodu korygującego błędy dąży do uzyskania kodu o jak najmniejszej długości dla danego przypadku wystąpienia błędu, tak projektant kodu uwierzytelniającego chce zminimalizować długość klucza wymaganą do osiągnięcia określonej granicy prawdopodobieństwa dezinformacji.
Zanim uzyskamy w pełni działający system dowodzenia i nadzoru, trzeba dopracować kilka szczegółów. Musimy wypracować sposoby wbudowywania mechanizmów kontroli kluczy w głowice bojowe w sposób, który będzie odporny na rozbrojenie lub demontaż przez ludzi niedysponujących kluczami do rozbrajania. Potrzebujemy mechanizmów do generowania kluczy i osadzania ich w broni i urządzeniach sterujących. Musimy pomyśleć o wszystkich sposobach, w jakie osoba atakująca może przechytrzyć personel techniczny, oraz co zrobić, aby temu zapobiec. Jest także jeszcze jeden element złożoności kryptograficznej. Jak wprowadzić element jednokierunkowości, aby konserwator, który rozbraja bombę w celu wymiany baterii, nie poznał uniwersalnego kodu odblokowującego? Być może będziemy musieli dostarczyć kod, aby odblokować jeden konkretny ładunek w ramach uniwersalnego odblokowywania, a nie odwrotnie. Co więcej, potrzebujemy sprawnych mechanizmów odzyskiwania i ponownego ustanawiania klucza w przypadku, gdy kryzys spowoduje, że będziemy musieli autoryzować broń, która została wcześniej odstawiona. Do realizacji tej jednokierunkowości systemy amerykańskie wykorzystują obecnie kryptografię klucza publicznego, ale można również użyć funkcji jednokierunkowych. W obu przypadkach otrzymamy interesującą mieszankę bezpieczeństwa bezwarunkowego i obliczeniowego.
Ciekawym efektem ubocznym badań nad uwierzytelnianiem był tryb działania GCM dla szyfrów blokowych, opisany w rozdziale dotyczącym kryptografii, który stał się najpopularniejszym trybem we współczesnych szyfrach.
15.4. Schematy współdzielonego nadzoru
Kwestie dowodzenia związanego z użyciem broni jądrowej i nadzorem nad nią stały się jeszcze bardziej złożone, kiedy w końcu lat 70. XX wieku pojawiła się obawa, że w przypadku sowieckiego radzieckiego ataku dekapitacyjnego na krajowy organ dowodzenia Stanów Zjednoczonych arsenał, choć będzie nietknięty, pozostanie bezużyteczny. Obawiano się również, że po przekroczeniu pewnego progu gotowości nierozsądne byłoby zakładanie, że łączność między władzą a dowódcami polowymi może zostać utrzymana ze względu na prawdopodobne uszkodzenia spowodowane impulsami elektromagnetycznymi (i innymi możliwymi atakami na łączność).
Rozwiązanie znaleziono w innej gałęzi kryptomatematyki, znanej jako dzielenie sekretu, której rozwój był inspiracją. Pomysł polega na tym, że w razie wzrostu napięcia zostanie uruchomiony rezerwowy system nadzoru, w którym grupy odpowiednich osób piastujących określone stanowiska lub dowódców polowych mogą wspólnie pozwolić na uzbrojenie głowic. W przeciwnym razie problemy z utrzymaniem szczegółowego, scentralizowanego nadzoru nad dużą liczbą głowic prawdopodobnie stałyby się nierozwiązywalne. Szczególnym przypadkiem tego są pociski balistyczne wystrzeliwane z okrętów podwodnych. Istnieją one, aby zapewnić możliwość drugiego uderzenia - zemsty na kraju, który zniszczył dany kraj pierwszym uderzeniem. Rząd Wielkiej Brytanii obawiał się, że zgodnie z doktryną amerykańską dowódca okrętu podwodnego może zostać pozbawiony możliwości uzbrojenia głowic, jeśli Stany Zjednoczone zostałyby zniszczone, a prezydent i jego prawowici następcy na stanowisku zostaliby zabici. Brytyjskie podejście polega więc na przechowywaniu informacji umożliwiających uzbrojenie głowic w sejfach, pod nadzorem oficerów na okręcie, wraz z pismem od premiera o okolicznościach użycia broni. Jeśli oficerowie wyrażą zgodę, rakiety będą mogły zostać wystrzelone.
Jak można to uogólnić? Cóż, możemy po prostu dać połowę klucza uwierzytelniającego każdej z dwóch osób, ale wtedy potrzebujemy klucza podwójnej długości, zakładając, że oryginalny parametr zabezpieczeń będzie obowiązywać, nawet jeśli jedna z osób padnie ofiarą przestępstwa. Alternatywnym podejściem jest przekazanie każdej z nich pewnej liczby i sprawienie, że każde dwie osoby będą mogły zbudować klucz. Tak zarządza się kluczami do bankomatów[2]. Ale to może nie wystarczyć w kontekście dowodzenia, ponieważ nie można mieć pewności, że osoby obsługujące sprzęt zgodzą się bez dyskusji i zapytań na rozpętanie armagedonu. W rezultacie bardziej ogólne podejście zostało wymyślone niezależnie przez Blakleya i Shamira w 1979 roku [257, 1706]. Jego podstawowy zamysł został zilustrowany na rysunku 15.1.
Rysunek 15.1. Współdzielony nadzór przy użyciu geometrii
Załóżmy, że Wielka Brytania chce narzucić zasadę, że jeśli premier zostanie zamordowany, broń może zostać uzbrojona albo przez dwóch dowolnych ministrów, albo przez trzech generałów, albo przez ministra i dwóch generałów. Aby to wdrożyć, przyjmijmy, że punkt C na osi z będzie kodem odblokowującym, który trzeba będzie wprowadzić w broni. Rysujemy dowolną linię prostą przechodzącą przez C i przydzielamy każdemu ministrowi punkt na tej prostej. Dowolne dwie osoby razem mogą wyznaczyć współrzędne prostej i znaleźć punkt C, w którym przecina ona oś z. W podobny sposób wyznaczamy płaszczyznę, na której leży ta prosta, i przydzielamy każdemu generałowi losowy punkt na tej płaszczyźnie. Teraz dowolnych trzech generałów lub dwóch generałów plus minister może zrekonstruować płaszczyznę, a następnie kod uzbrajający C.
Uogólniając tę prostą konstrukcję na geometrię w n wymiarach, albo raczej na bardziej ogólne struktury algebraiczne niż linie proste i płaszczyzny, przy użyciu tej metody połączymy głowice, dowódców i możliwości ze złożonością ograniczoną jedynie dostępnymi zasobami. Wprowadzenie do dzielenia sekretu można znaleźć w [1832], a bardziej szczegółowy opis w [1754]. To zainspirowało rozwój schematów sygnatur progowych, opisanych w rozdziale 5, "Kryptografia", i może być stosowane w produktach, które wymagają egzekwowania reguł, takich jak "Zimny portfel bitcoin może być aktywowany przez dwóch dowolnych wiceprezesów giełdy".
W typowych zastosowaniach wojskowych używana jest metoda "dwa z n", przy czym n musi być wystarczająco duże, aby przynajmniej dwóch posiadaczy kluczy było gotowych i zdolnych do wykonania zadania, pomimo strat w walce. Uwagi wymaga tu wiele innych szczegółów. Na przykład, w wyniku śmierci dowódcy jego zastępca nie powinien wejść w posiadanie obu połówek klucza, ponadto istnieje wiele drobnych kwestii, takich jak kto do kogo i kiedy może strzelić (po tej samej stronie). Bankowość jest bardzo podobna - wykonanie dużej płatności może wymagać dwóch uprawnionych pracowników banku, a zasady delegowania nie pozwalają, aby oba klucze wpadły w ręce jednej pary rąk.
W niektórych zastosowaniach cywilnych, aby złamać nasz system, może spiskować pewna liczba osób posiadających pewne dodatkowe informacje. Klasycznym przykładem jest płatna telewizja, w której pirat może kupić kilkadziesiąt kart abonenckich i poddać je inżynierii wstecznej w celu wydobycia ich sekretów. Dlatego operator płatnej telewizji potrzebuje systemu odpornego na ataki wielu abonentów. O problemie zdalnej cenzury (ang. traitor tracing) opowiem więcej w rozdziale dotyczącym praw autorskich.
15.5. Odporność na manipulacje i zabezpieczenia PAL
We współczesnej broni elektromagnetyczne zamki zostały zastąpione urządzeniami PAL (ang. permissive action link), które są używane do ochrony większości amerykańskich urządzeń jądrowych. Podsumowanie opublikowanych informacji o PAL można znaleźć w [218]. Rozwój urządzeń PAL rozpoczął się około 1961 roku, ale wdrażanie było powolne. Nawet dwadzieścia lat później około połowa amerykańskich głowic nuklearnych w Europie nadal korzystała z czterocyfrowych zamków szyfrowych[3]. Wraz z wprowadzeniem bardziej skomplikowanych opcji uzbrajania długość kodów wzrosła z 4 do 6, a ostatecznie do 12 cyfr. Urządzenia zaczęły mieć wiele kodów, z oddzielnymi poleceniami "włącz" i "autoryzuj", a także możliwością zmiany kodów na polu walki (przywracanie po fałszywych alarmach).
System PAL jest wspomagany różnymi systemami przełączania wymagającymi kodów oraz procedurami operacyjnymi, a w przypadku broni, takiej jak miny jądrowe, która nie jest wystarczająco duża i skomplikowana, aby uniemożliwić dostęp do PAL, broń jest również przechowywana w pojemnikach z czujnikiem manipulacji zwanym PAPS (ang. prescribed action protective system). Inne mechanizmy stosowane w celu zapobiegania przypadkowej detonacji obejmują celowe osłabianie krytycznych części systemu detonatora, tak aby uległy one awarii w przypadku wystawienia na działanie pewnych nietypowych środowisk.
Bez względu na to, jaka kombinacja systemów jest używana, istnieją mechanizmy obronne, które uniemożliwiają złodziejowi uzyskanie energii jądrowej ze skradzionej broni. Mechanizmy te różnią się w zależności od rodzaju broni. Są wśród nich butle gazowe do odkształcania rdzenia i uwodorniania znajdującego się w nim plutonu, ładunki kumulacyjne do niszczenia komponentów, takich jak generatory neutronów, czy tych do wzbudzania trytu, oraz asymetryczne detonatory, które powodują raczej rozproszenie plutonu niż uzyskanie z niego korzyści. Takie procedury samozniszczenia, w przypadku zagrożenia przejęciem broni przez wroga, czyni ją trwale niedziałającą, bez możliwości uzyskania pożytku. Priorytetem jest zawsze zniszczenie kodu. Zakłada się, że rząd renegatów, który mógłby rozmieścić "terrorystów" w celu kradzieży ładunku bomb, byłby gotów poświęcić część bomb (i część personelu technicznego), aby uzyskać jedną sprawną sztukę broni.
Aby wykonać autoryzowaną konserwację, należy wyłączyć zabezpieczenie antysabotażowe, co wymaga osobnego kodu odblokowującego. Urządzenia, które przechowują różne kody odblokowujące - do serwisowania i uzbrajania - same są chronione w podobny sposób jak broń.
Cel zabezpieczenia został podsumowany w [1828]:
Obecnie uważa się, że nawet ktoś, kto wszedł w posiadanie takiej broni, miał komplet rysunków i korzystał z możliwości technicznych jednego z krajowych laboratoriów, nie byłby w stanie skutecznie wywołać detonacji bez znajomości kodu.
Spełnienie tak ambitnego celu wymaga bardzo dużego wysiłku. Istnieje wiele przykładów wymaganego poziomu dbałości:
- po testach, które wykazały, że 1-milimetrowe fragmenty chipa przetrwały ochronną detonację kontrolnego ładunku przewożonego na pokładach powietrznych stanowisk dowodzenia, oprogramowanie zostało przepisane, tak aby cały materiał klucza został umieszczony w dwóch oddzielnych komponentach, które znajdowały się pod adresami oddalonymi od siebie w chipie o ponad 1 mm;
- "walizka atomowa", urządzenie dowodzenia noszone za prezydentem, jest tak gruba ze względu na obawy, że do wyłączenia mechanizmów ochronnych mogą zostać użyte ładunki kumulacyjne. Ładunki kumulacyjne mogą generować strumień plazmy o prędkości 8000 m/s, który teoretycznie mógłby zostać wykorzystany do wyłączenia obwodów wykrywających manipulację. Jest zatem potrzebna pewna odległość, aby układ alarmowy miał wystarczająco dużo czasu na wyzerowanie pamięci kodów.
Dbałość ta musi obejmować wiele szczegółów wykonania i eksploatacji. Proces testowania broni obejmuje nie tylko niezależną weryfikację i walidację, ale także wrogie próby penetracji "black hat" przez konkurencyjne agencje. Podejmowane są wszelkie praktyczne środki, aby uniemożliwić dostęp potencjalnym przeciwnikom. Urządzenia (zarówno amunicja, jak i narzędzia do nadzoru) są dogłębnie chronione przez siły zbrojne. Często przeprowadzane są inspekcje bez uprzedzenia, a personel może zostać zmuszony do ponownego przystąpienia do odpowiednich egzaminów o dowolnej porze dnia i nocy. Wreszcie, na wszystkich szczeblach poniżej prezydenta istnieje podwójna kontrola, jak w bankowości - żadna osoba bez opieki nie może zbliżać się do broni jądrowej.
Odporność na manipulacje omówię bardziej szczegółowo w osobnym rozdziale, ponieważ jest ona powszechnie wymagana w zastosowaniach takich jak karty bankowe i telefony. Jednak odporność na manipulacje, dzielenie sekretów i jednorazowe uwierzytelnianie to nie jedyne technologie, które skorzystały na zainteresowaniu przemysłu jądrowego. Istnieją też bardziej subtelne systemowe doświadczenia.
15.6. Weryfikacja zachowania traktatów
Do monitorowania zgodności z traktatami o nierozprzestrzenianiu broni jądrowej stosuje się różne systemy weryfikacji. Na przykład MAEA i amerykański urząd dozoru jądrowego (Nuclear Regulatory Commission, NRC) sprawują nadzór nad materiałami rozszczepialnymi w licencjonowanych cywilnych reaktorach energetycznych i innych obiektach.
Interesujący przykład stanowią odporne na manipulacje czujniki sejsmiczne zaprojektowane do monitorowania Traktatu o całkowitym zakazie prób z bronią jądrową (Comprehensive Nuclear-Test-Ban Treaty, CTBT) [1751]. Celem ich użycia było to, aby u każdego sygnatariusza w ośrodkach zajmujących się badaniami znajdowały się wystarczająco czułe czujniki, które umożliwiałyby wykrycie z dużym prawdopodobieństwem każdego naruszenia traktatu (np. testowania zbyt dużego ładunku). Wykrywanie sabotażu jest tutaj dość proste: czujniki sejsmiczne są montowane w stalowej rurze i wkładane do wywierconego otworu, który jest zalewany betonem. Całość jest tak solidna, że w wykrywaniu przypadków manipulacji z dość dużym prawdopodobieństwem można polegać na samych sejsmometrach. Ta fizyczna ochrona jest wzmacniana przez losowe inspekcje.
Proces uwierzytelniania staje się nieco bardziej złożony z powodu założenia wszechobecnej nieuczciwości. Ponieważ nie ma takiego trzeciego podmiotu, któremu ufałyby obie strony, a ilość przesyłanych danych sejsmicznych jest rzędu 108 bitów dziennie, zamiast jednorazowych znaczników uwierzytelniających zastosowano schemat podpisu cyfrowego (RSA). Ale to tylko część rozwiązania. Zawsze jedna strona może wyprzeć się podpisanej wiadomości, mówiąc, że urzędnik odpowiedzialny za jego wygenerowanie zdezerterował, a więc podpis został sfałszowany. A zatem klucze musiałyby zostać wygenerowane w samym pakiecie sejsmicznym, który zostałby zapieczętowany przez obie strony. Ponadto, gdyby jedna ze stron zbudowała sprzęt, druga mogłaby podejrzewać, że ma on ukryte funkcjonalności. Zaproponowano wiele protokołów na zasadzie jeden dzieli, drugi wybiera, w których jedna ze stron wyprodukowałaby kilka urządzeń, a druga strona wybrałaby egzemplarze do kontroli. Od tego czasu wiele z tych problemów pojawiło się także w handlu elektronicznym. (Wielu projektantów systemów mogłoby oszczędzić sobie wielu kłopotów, gdyby przeczytali opis tych systemów monitorowania traktatów opublikowany w [1751] przez Gusa Simmonsa, byłego szefa kryptografii w Sandia National Laboratories).
15.7. Co idzie nie tak
Pomimo ogromnych sum pieniędzy zainwestowanych w rozwój zaawansowanych technologicznie mechanizmów ochronnych, wydaje się, że zaawansowane technicznie systemy nadzoru nad bronią jądrową i zapewniania bezpieczeństwa są narażone na takie same błędy projektowe, błędy wdrożeniowe i nieostrożne działania, jak wszystkie inne.
15.7.1. Zdarzenia jądrowe
Głównym zagrożeniem są po prostu awarie. Mieliśmy już dwa zdarzenia jądrowe ocenione na 7[4] w międzynarodowej skali zdarzeń jądrowych i radiologicznych (International Nuclear and Radiological Event Scale, INES), a mianowicie te w Czarnobylu i Fukushimie, oraz kilka mniej poważnych. Główny brytyjski zakład przetwarzania odpadów w Sellafeld, w którym jest przechowywane 160 ton plutonu (największy skład na świecie), od dziesięcioleci jest nękany skandalami. Sfałszowana została dokumentacja odpadów, tuszowane były wycieki promieniowania, pracownicy przerabiali przepustki, aby mogli wjeżdżać samochodami do obszarów o ograniczonym dostępie, pojawiły się doniesienia o sabotażu, a policji nuklearnej udaje się wyjaśnić tylko 10-20% przypadków kradzieży lub szkód kryminalnych [1133]. Oczyszczenie tego wszystkiego może zająć sto lat i kosztować ponad 100 miliardów dolarów, a do tego czasu trzeba tego pilnować [1870]. W innych obszarach obronnego, nuklearnego przemysłu zbrojeniowego istnieją znaczące i wszechobecne problemy, w tym w fabrykach broni jądrowej i bazach okrętów podwodnych, począwszy od zniszczonych obiektów, niekompetentnych wykonawców, niskiego morale, opóźnień w projektach, rosnących kosztów, a kończąc na 20 starych okrętach podwodnych czekających na utylizację - z których dziewięć nadal zawiera paliwo [1563]. Sytuacja w Rosji wydaje się być jeszcze gorsza. Ankieta dotycząca przechowywania materiałów jądrowych wykazała, jak podupadły mechanizmy zabezpieczeń po rozpadzie ZSRR, kiedy to materiały rozszczepialne czasami pojawiały się na czarnym rynku, a sygnaliści byli ścigani [955].
15.7.2. Związek z cyberwojną
Drugim, rosnącym problemem jest to, że bezpieczeństwo jądrowe może zostać naruszone przez możliwość cyberataku. Nawet jeśli same kanały dowodzenia oraz nadzoru zostały uodpornione na manipulacje przy użyciu opisanych tutaj metod kryptograficznych i mechanizmów zabezpieczających przed manipulacją, to mogą one stać się obiektem ataku powodującego blokadę usługi. W 2018 roku administracja Trumpa zmieniła doktrynę, tak aby w odpowiedzi na taki atak zezwolić na pierwsze użycie broni jądrowej. Kolejnym istotnym pytaniem jest to, czy dowódcy mogą wierzyć w to, co widzą na swoich ekranach. W 1983 roku nowy radziecki system wczesnego ostrzegania nie działał poprawnie w czasie międzynarodowych napięć, informując, że Stany Zjednoczone wystrzeliły pięć pocisków Minuteman na Związek Radziecki. Dowódca w moskiewskim bunkrze, podpułkownik Stanisław Pietrow uznał, że to prawdopodobnie fałszywy alarm, bo wystrzelenie tylko pięciu pocisków byłoby nielogiczne i wstrzymał się do czasu, aż satelity potwierdzą, że to rzeczywiście fałszywy alarm. To była prawdopodobnie jedna z najgroźniejszych sytuacji, w których świat znalazł się na krawędzi przypadkowej wojny nuklearnej (trzy lata wcześniej w Stanach Zjednoczonych również był fałszywy alarm). Jak taka awaria systemu rozegrałaby się dzisiaj, gdy mamy znacznie bardziej złożone systemy, a sztuczna inteligencja wkrada się do łańcucha dowodzenia w różnych miejscach, a my nawet nie zdajemy sobie z tego sprawy? I mniejsza o awarie - co z atakami na nasze zdolności wywiadowcze, inwigilacyjne i rozpoznawcze (ISR), w tym satelity, które wypatrują wystrzelonych rakiet, wykrywają detonacje jądrowe i przekazują rozkazy?
Te obawy opisano szczegółowo w raporcie Nuclear Threat Initiative z 2018 roku [1837]. Sama ochrona broni nie wystarczy, ponieważ katastrofalne skutki może mieć również cyberatak na systemy planowania, wczesnego ostrzegania czy łączności. Główne ryzyko wiąże się z użyciem broni z powodu fałszywych ostrzeżeń lub błędnych obliczeń. Istnieją również zależności od elementów zewnętrznych - na przykład od sieci (w szczególności elektroenergetycznej). Ataki na konwencjonalne sieci dowodzenia i nadzoru mogą być postrzegane jako zagrożenia strategiczne, jeśli sieci te są również wykorzystywane w siłach nuklearnych. Takie kwestie zostały potwierdzone w dokumencie Nuclear Posture Review opublikowanym w 2018 r za kadencji Trumpa. Same techniczne środki cyberzabezpieczeń prawdopodobnie nie wystarczą, ponieważ istnieją poważne kwestie miękkie takie jak ta, czy można podważyć autorytet kluczowych osób, sprawiając, że będą wyglądać na niekompetentne.
Mogą również pojawić się obawy, że zdolności przeciwnika dotyczące operacji cybernetycznych mogą zmniejszyć skuteczność własnego odstraszania albo też może pojawić się zbytnia pewność siebie dotycząca tego, iż własne zdolności mogą sprawić, że zaatakowanie rywala będzie mniej ryzykowne. Zostałem osobiście poinformowany przez wysokiego rangą urzędnika w agencji wywiadu radiokomunikacyjnego mocarstwa nuklearnego spoza NATO, że w konfrontacji "mieli przewagę" nad regionalnym rywalem. Niezależnie od tego, czy była to prawda, czy nie, takie nastroje, wyrażane w korytarzach władzy, mogą osłabić odstraszanie i zwiększyć prawdopodobieństwo konfliktu nuklearnego. W 2019 roku amerykańska Narodowa Komisja Bezpieczeństwa ds. Sztucznej Inteligencji ostrzegła, że odstraszanie nuklearne może zostać osłabione, jeśli systemy wyposażone w sztuczną inteligencję odniosą sukces w śledzeniu i namierzaniu zasobów wojskowych, które wcześniej były na to niewrażliwe [1417].
I nie dotyczy to tylko zadeklarowanych mocarstw nuklearnych. Obecnie 22 kraje posiadają materiały rozszczepialne w ilości i jakości wystarczającej do produkcji broni, a 44 mają cywilne programy nuklearne (45, gdy do krytycznego poziomu dojdą Zjednoczone Emiraty Arabskie). Spośród tych krajów, 15 nie ma nawet przepisów dotyczących cyberzabezpieczeń. Firmy energetyczne na ogół nie inwestują w cyberzabezpieczenia, chyba że ich organy regulacyjne im to nakazują, podczas gdy niektóre firmy (i kraje) nie mają nawet takich realnych możliwości.
Wszystko to stało się bardzo istotne dla rządów w wyniku amerykańsko-izraelskiego ataku na irańskie instalacje wzbogacania uranu w Natanz przy użyciu wirusa Stuxnet. W 2009 roku irańska produkcja wzbogaconego uranu spadła o 30%, a w 2010 roku informacja o wirusie wyszła na jaw. Zainfekował on kontrolery wirówek, powodując ich przyspieszenie, a następnie spowolnienie w taki sposób, że zniszczył około 1 tys. z całej 4,7 tys. irańskiej floty wirówek. Zaangażowanie w to rządu Stanów Zjednoczonych zostało ostatecznie potwierdzone w 2012 roku [1031].
15.7.3. Porażki techniczne
Doszło również do wielu interesujących porażek związanych z zabezpieczeniami zaawansowanych technologii. Jednym z przykładów jest możliwy atak wykryty w kontekście traktatu o redukcji zbrojeń jądrowych, który doprowadził do rozwoju nowej gałęzi kryptomatematyki - badania kanałów podprogowych - i ma znaczenie dla późniejszych prac nad znakowaniem związanym z prawami autorskimi i steganografią.
Historia ta została opowiedziana w [1757]. Za rządów Cartera Stany Zjednoczone zaproponowały układ z ZSRR, na mocy którego każda ze stron współpracowałaby z drugą w celu weryfikacji liczby międzykontynentalnych pocisków balistycznych. W celu ochrony amerykańskich pocisków Minuteman przed sowieckim pierwszym uderzeniem zaproponowano, aby 100 pocisków było losowo przemieszczanych między 1000 silosów przez gigantyczne ciężarówki, które zostały zaprojektowane tak, aby obserwatorzy nie mogli określić, czy poruszają się z pociskiem, czy nie. Tak więc Sowieci musieliby zniszczyć wszystkie 1000 silosów, aby przeprowadzić udany pierwszy atak, co uznano za niepraktyczne.
Ale jak Stany Zjednoczone mogły zapewnić Sowietów, że we wszystkich silosach znajduje się łącznie co najwyżej 100 pocisków, nie pozwalając im dowiedzieć się, gdzie one są? Proponowane rozwiązanie polegało na tym, że silosy miałyby rosyjski pakiet czujników, który wykrywałby obecność lub brak pocisku, podpisywałby ten pojedynczy bit informacji i wysyłał go przez amerykański ośrodek monitorujący do Moskwy. Haczyk polegał na tym, że można było wysłać tylko ten pojedynczy bit informacji. Gdyby do komunikatu Rosjanie mogli przemycić więcej informacji, mogliby zlokalizować pełne silosy - ponieważ wystarczyłoby tylko dziesięć bitów informacji adresowych, aby określić lokalizację pojedynczego silosa. (Istniało wiele innych wymagań związanych z zabezpieczeniem, aby zapobiec oszustwom jednej ze stron lub fałszywemu oskarżeniu drugiej strony o oszustwo; więcej szczegółów jest przedstawionych w [1756]).
Aby zobaczyć, jak działają kanały podprogowe, rozważmy algorytm DSA opisany w rozdziale o kryptografii. W tym systemie wykorzystywane są: liczba pierwsza p, liczba pierwsza q dzieląca (p - 1) i generator g podgrupy F*p rzędu q. Podpisem komunikatu M jest (r, s), gdzie r = (gk (mod p)) (mod q), a k to losowy klucz sesji. Odwzorowanie z k na r jest dość losowe, więc podpisujący, który chce ukryć dziesięć bitów informacji w tym podpisie w celu tajnej komunikacji ze wspólnikiem, może najpierw uzgodnić konwencję dotyczącą sposobu ukrywania bitów (takich jak "bity 72-81"), a po drugie, wypróbowywać jedną wartość k po drugiej, aż wynikowa wartość r będzie zawierała żądany podłańcuch.
Mogło to spowodować katastrofalną awarię protokołu zabezpieczeń. Ostatecznie jednak "gra w pociski rakietowe", jak nazwano ją w prasie, nie została zastosowana. W Traktacie o całkowitej likwidacji pocisków rakietowych średniego zasięgu (Medium Range Ballistic Missile Treaty, MRBM) wykorzystano metody statystyczne. Rosjanie mieli prawo powiedzieć "chcielibyśmy zajrzeć do następujących 20 silosów". Zostałyby one wtedy otwarte, aby można było do nich zajrzeć z użyciem satelitów. Wraz z końcem zimnej wojny inspekcje stały się znacznie bardziej szczegółowe dzięki lotom inspekcyjnym załogowych statków powietrznych, z obserwatorami z obu stron, a nie z użyciem satelitów.
Mimo to odkrycie kanałów podprogowych było czymś znaczącym. Sposoby, w jakie mogą być wykorzystywane, obejmują umieszczanie w cyfrowym paszporcie lub dowodzie osobistym statusu HIV lub faktu skazania za przestępstwo. Tam, gdzie jest to niedopuszczalne, środkiem zaradczym jest użycie całkowicie deterministycznego schematu podpisu, takiego jak RSA, zamiast takiego, który używa losowego klucza sesji, jak na przykład DSA.
15.8. Tajność czy jawność?
Na koniec, przemysł nuklearny jest przykładem ciekawej historii związanej z tajnością. W latach 30. XX wieku fizycy z wielu krajów swobodnie dzielili się pomysłami naukowymi, które doprowadziły do zbudowania bomby. Lecz po tym jak "atomowi szpiedzy" (Fuchs, Rosenbergowie i inni) ujawnili Związkowi Radzieckiemu projekty ładunków z Hiroszimy i Nagasaki, sprawy przybrały zupełnie przeciwny obrót. Stany Zjednoczone przyjęły politykę, zgodnie z którą wiedza atomowa została utajniona. Oznaczało to, że jeśli podlegałeś jurysdykcji Stanów Zjednoczonych i miałeś pomysł związany z bronią nuklearną, musiałeś zachować go w tajemnicy, niezależnie od tego, czy posiadałeś poświadczenie bezpieczeństwa, czy choćby pracowałeś w przemyśle nuklearnym. Było to sprzeczne z Konstytucją. Od tego czasu sytuacja uległa znacznemu złagodzeniu, ponieważ kwestie ochrony zostały szczegółowo przemyślane.
"W Nowym Meksyku mamy bazę danych, która rejestruje fizyczne i chemiczne właściwości plutonu w bardzo wysokich temperaturach i ciśnieniach", powiedział mi kiedyś były szef amerykańskiej ochrony nuklearnej. "Na jakim poziomie powinienem to sklasyfikować? Kto może to ukraść i czy to mu się przyda? Rosjanie mają swoje dane na ten temat. Izraelczycy mogą to rozgryźć. Kaddafi? Co on, do diabła, z tym zrobi?"
Gdy problemy takie jak ten zostały rozwiązane, wiele technologii zostało odtajnionych i opublikowanych, przynajmniej w zarysie. Począwszy od wczesnych publikacji na konferencjach naukowych na początku lat 80. XX wieku dotyczących wyników prac nad kodami uwierzytelniającymi i kanałami podprogowymi, stwierdzono, że korzyści z publicznego przeglądu projektów przeważają nad korzyściami dla przeciwnika wynikającymi z szerokiej znajomości używanego systemu.
Wiele szczegółów dotyczących wdrożenia jest utrzymywanych w tajemnicy, w tym informacje, które mogą ułatwić sabotaż, na przykład, który z pięćdziesięciu budynków obiektu zawiera siły reagowania alarmowego. Jednak całościowy obraz jest dość otwarty, z technologiami dowodzenia i kontroli czasami oferowanymi innym państwom, w tym potencjalnie wrogim. Uznano, że korzyści wynikające ze zmniejszenia prawdopodobieństwa przypadkowej wojny przeważają nad możliwymi korzyściami wynikającymi z zachowania tajności. Po 11 września wolelibyśmy mieć przyzwoite systemy dowodzenia w Pakistanie, niż ryzykować, że jedna z ich broni zostanie użyta przeciwko nam przez jakiegoś oficera średniego szczebla cierpiącego na atak religijnego fanatyzmu. Jest to współczesna reinkarnacja doktryny Kerckhoffsa, dziewiętnastowiecznej maksymy, że zabezpieczenia systemu muszą zależeć od jego klucza, a nie od tego, czy jego konstrukcja pozostaje niejasna [1044].
Lekcje z dziedziny atomistyki można by wyciągnąć w szerszym zakresie. Po 11 września wiele rządów mówiło o możliwości użycia przez terrorystów broni biologicznej i nałożyło kontrole na badania i nauczanie w dziedzinie bakteriologii, wirusologii, toksykologii, a nawet medycyny. Moi koledzy z wydziałów zajmujących się tymi dyscyplinami mieli zupełnie odmienne zdanie. "Po prostu nie powinieneś martwić się wąglikiem" - powiedział mi jeden z najlepszych wirusologów w Wielkiej Brytanii. "Prawdziwe zło to rzeczy wymyślone przez Matkę Naturę, takie jak HIV, SARS i ptasia grypa. Jeśli te polityki oznaczają, że w Chartumie nie będzie żadnych zdolnych pracowników służby zdrowia, gdy następnym razem wirus będzie przemieszczał się wzdłuż Nilu, to pożałujemy". Niestety wydarzenia 2020 roku potwierdzają tę mądrość.
15.9. Podsumowanie
Nadzór nad bronią jądrową i działania wspierające, od ochrony integralności krajowego systemu dowodzenia, poprzez fizyczne zabezpieczenie obiektów jądrowych, po monitorowanie międzynarodowych traktatów o nadzorowaniu zbrojeń, wniosły ogromny wkład w rozwój technologii zabezpieczeń.
Racjonalna decyzja, że broń i materiały rozszczepialne muszą być chronione niemal bez względu na koszty, doprowadziła do rozwoju wielu dziedzin matematyki i nauk ścisłych, których wyniki znalazły zastosowania także gdzie indziej. Konkretnymi przykładami, którym przyjrzeliśmy się w tym rozdziale, są kody uwierzytelniające, mechanizmy współdzielonego nadzoru i kanały podprogowe. W pozostałej części tej książki można znaleźć inne przykłady, od alarmów po dane biometryczne tęczówki i od urządzeń elektronicznych odpornych na manipulacje po plomby.
Jednak nawet jeśli możemy chronić kanał, którym przesyłane komunikaty związane z dowodzeniem i nadzorem i za pomocą którego można zezwolić na użycie broni jądrowej, to w żadnym przypadku nie jest to wszystko. Jeśli cyberataki wymierzone w zdolności wywiadowcze, inwigilacyjne i rozpoznawcze danego kraju mogą podważyć zaufanie do zdolności do odstraszania, to nadal mogą prowadzić do poważnej destabilizacji. W czasach nuklearnej przewagi każda ze stron może myśleć, że ma przewagę z powodu niezadeklarowanych zdolności cybernetycznych. Biorąc pod uwagę fakt, że od 1945 roku prezydenci Stanów Zjednoczonych kilkanaście razy wyrazili groźbę użycia broni nuklearnej (Kuba, Wietnam i Irak to tylko bardziej oczywiste przykłady), to możemy spodziewać się kilku takich kryzysów w każdym pokoleniu.
Problemy badawcze
Problem badawczy, który postawiłem na końcu tego rozdziału w pierwszym wydaniu książki z 2001 roku, brzmiał: "Znajdź ciekawe zastosowania dla technologii wynalezionych w tej dziedzinie, takich jak kody uwierzytelniające". Do drugiego wydania tryb szyfrów blokowych GCM (Galois/Counter Mode) został ustandaryzowany i w tym momencie jest wszechobecny. Z czym jeszcze może być podobnie?
Obecnie najpoważniejszym problemem badawczym może być powiązanie między krzemem a plutonem. Atak amerykańsko-izraelski na irański program wzbogacania uranu w latach 2009-2010 dał światu przykład cyberataków stosowanych w świecie nuklearnym. W jaki sposób groźba takich ataków może zwiększyć ryzyko konfliktu nuklearnego i co możemy z tym zrobić? Biorąc pod uwagę, że nie możemy uodpornić wszystkiego w taki sposób, w jaki uodparniamy kanał dowodzenia, co możemy zrobić, aby utrzymać zaufanie do systemów wspierających, jak te zajmujące się inwigilacją, lub przynajmniej sprawić, że będą degradować się w sposób, który nie będzie prowadzić do śmiercionośnych fałszywych alarmów.
Materiały uzupełniające
Ponieważ moje bezpośrednie doświadczenia z bronią jądrową są dość nieaktualne - polegały na pracy w latach 70. nad awioniką samolotów zdolnych do przenoszenia broni jądrowej - materiał w tym rozdziale został zebrany na podstawie opublikowanych źródeł i rozmów z osobami z tej branży. Jednym z najlepszych źródeł informacji publicznej na temat broni jądrowej jest Federacja Naukowców Amerykańskich. Jej publikacje obejmują wszystko, od projektu bomby po uzasadnienie odtajnienia wielu technologii związanych z bronią jądrową [672]. Kwestie odtajnienia są również omawiane w [2047], a publicznie dostępne materiały na temat PAL zostały zebrane przez Steve'a Bellovina [218].
Gus Simmons był facetem w laboratorium Sandia, który zaprojektował walizkę atomową. Był pionierem kodów uwierzytelniających, mechanizmów współdzielonego nadzoru i kanałów podprogowych. Jego książka [1753] pozostaje najlepszym źródłem dla większości materiałów technicznych omówionych w tym rozdziale. Bardziej zwięzłe wprowadzenie do uwierzytelniania i udostępniania informacji tajnych można znaleźć w podręczniku Douga Stinsona [1832].
Awarie sterowania w obiektach jądrowych zostały udokumentowane w wielu miejscach. Problemy z instalacjami rosyjskimi omówiono w [955], bezpieczeństwo jądrowe w Stanach Zjednoczonych jest nadzorowane przez urząd dozoru jądrowego [1457], a mankamenty instalacji w Wielkiej Brytanii są dokumentowane w kwartalnych sprawozdaniach publikowanych przez Inspekcję Bezpieczeństwa i Higieny Pracy [876]. Najlepszy i najbardziej aktualny przegląd problemów można znaleźć w raporcie Komisji Rachunków Publicznych Izby Gmin Ministry of Defence nuclear programme z 2018 roku [1563]. Jeśli chodzi o powiązania "między krzemem a plutonem", istnieje niedawny raport na ten temat pochodzący od think-thanku Chatham House [27].
ROZDZIAŁ 16Zabezpieczenia drukarskie, plomby i pieczęcie
Pieczątka jest warta nie więcej niż człowiek, który ma ją w teczce.
- Karen Sparck Jones
Nie możesz zabezpieczyć czegoś, jeśli nie wiesz, jak to złamać.
- Marc Weber Tobiasz
16.1. Wprowadzenie
Aby zagwarantować ważne aspekty ochrony, wiele systemów komputerowych jest w jakimś stopniu opartych na zabezpieczeniach drukarskich, zabezpieczonych opakowaniach i plombach.
- Większość produktów zabezpieczających można pokonać, jeśli przeciwnik jest w stanie się do nich dostać przed ich zastosowaniem. Plomby i opakowania zaprojektowane tak, aby wykryć manipulacje, mogą pomóc w zaufanej dystrybucji, to znaczy zapewnić użytkownika, że produkt nie został naruszony od momentu opuszczenia fabryki.
- Widzieliśmy, jak w systemach monitorowania, takich jak liczniki mediów i tachografy, często wykorzystuje się plomby, aby utrudnić użytkownikom fałszowanie pobieranych przez nie danych. Bez względu na to, jak wyrafinowana jest stosowana kryptografia, pokonanie plomby może oznaczać pokonanie systemu.
- Omówiłem również, w jaki sposób, za sprawą ataków na Mifare i niektórych jej następców, można sklonować karty zbliżeniowe stosowane w większości systemów kontroli dostępu do budynków. Zanim wpuścimy inżyniera do swojego centrum hostingowego, dobrym pomysłem może być przyjrzenie się identyfikatorowi, a także odczytanie go w formie elektronicznej. Nawet w przypadku elektronicznych kart identyfikacyjnych nadal mogą mieć znaczenie zabezpieczenia drukarskie.
- Ogólnie rzecz biorąc, bardziej skuteczne może być takie zaprojektowanie zabezpieczeń, aby wykryć manipulacje na nich, niż zabezpieczenie przed manipulacją: jeśli ktoś rozmontuje swoją kartę mikroprocesorową i wydobędzie klucze, nie powinien być w stanie złożyć jej z powrotem w coś, co przejdzie szczegółową weryfikację. Mogą okazać się tu pomocne zabezpieczenia drukarskie.
Zupełnie niezależnie od bezpośrednich zastosowań technologii drukowania i plombowania łatwość, z jaką nowoczesne kolorowe skanery i drukarki mogą zostać użyte do tworzenia wiarygodnych fałszerstw, otworzyła kolejną furtkę. Od końca lat 90. XX wieku drukarnie banknotów promują cyfrowe techniki ochrony [254]. Należą do nich znaki wodne, które uniemożliwiają używanie do fałszowania niektórych skanerów i drukarek, oraz niewidoczne znaki praw autorskich, które mogą umożliwić wykrywanie fałszerstw w automatach sprzedających produkty [831]. Równocześnie dostawcy kolorowych kopiarek i drukarek umieszczają na wydrukach kody, które zawierają numer seryjny urządzenia, datę i godzinę, umożliwiające wykorzystanie ich w technikach śledczych [621]. Tak więc świat cyfrowy i świat "śmiesznych atramentów" zbliżają się do siebie.
16.2. Historia
Pieczęcie mają długą i ciekawą historię. W rozdziale o systemach bankowych omówiłem, w jaki sposób systemy księgowe wywodzą się z glinianych tabliczek czy z bulli używanych przez neolitycznych strażników magazynów w Mezopotamii jako pokwitowań za towary. Ponad 5000 lat temu system bulli zaczęto stosować do rozstrzygania sporów poprzez nakazanie strażnikowi magazynu wypalania w glinianym opakowaniu bulli wraz z jego własną pieczęcią.
W starożytnych Chinach i w obszarze Morza Śródziemnego pieczęci używano do uwierzytelniania dokumentów. Zanim pojawił się papier, używano ich w średniowiecznej Europie jako środka kontroli społecznej. Woźnica dostawał ołowianą pieczęć w jednym punkcie poboru opłat i oddawał w następnym, a pielgrzymi otrzymywali ołowiane żetony z sanktuariów na dowód, że udali się na pielgrzymkę (w rzeczy samej młody Gutenberg miał swój pierwszy udział w interesach, wynajdując sposób wtapiania kawałków lustra w ołowiane pieczęcie w celu zapobiegania fałszerstwom i ochronie dochodów kościoła) [826]. Nawet po tym, jak rolę głównego mechanizmu uwierzytelniania listów przejęły odręczne podpisy, pieczęcie pozostawały mechanizmem drugorzędnym. Do XIX wieku listów nie umieszczano w kopertach, lecz kilkakrotnie składano i opieczętowywano przy użyciu gorącego wosku i sygnetu.
Pieczęcie są nadal preferowanym mechanizmem uwierzytelniania ważnych dokumentów w Chinach, Japonii i Korei. Gdzie indziej ślady ich dawnego znaczenia zachowały się w pieczęciach firmowych i notarialnych umieszczanych na ważnych dokumentach, pieczęciach państwowych, którymi głowy niektórych państw opatrują archiwalne kopie aktów prawnych, a także w zapotrzebowaniu niektórych krajów europejskich na podpisy elektroniczne, które są zgodne z unijnymi standardami eIDAS.
Jednak w połowie XX wieku ich wykorzystanie w dokumentach stało się na Zachodzie mniej ważne niż ich zastosowanie do uwierzytelniania opakowań. Przejście od towarów luzem do towarów pakowanych i rosnące znaczenie marek stworzyło nie tylko potencjał do lepszej kontroli jakości, ale także podatność na przestępcze manipulacje przy produktach. Stany Zjednoczone doświadczyły epidemii manipulacji, zwłaszcza napojów bezalkoholowych i produktów medycznych, co w szczycie doprowadziło do 235 zgłoszonych przypadków w 1993 roku [1030]. Pomogło to skłonić wielu producentów do tworzenia produktów umożliwiających stwierdzenie manipulacji.
Łatwość, z jaką można kopiować oprogramowanie, oraz opór konsumentów od połowy lat 80. XX wieku wobec technicznych mechanizmów ochrony przed kopiowaniem skłoniły firmy produkujące oprogramowanie do coraz większego polegania na opakowaniach w celu odstraszenia fałszerzy. To była tylko część znacznie większego rynku zapobiegania fałszerstwom markowych towarów o wysokiej wartości, od perfum i papierosów, przez części zamienne do samolotów, po farmaceutyki. Krótko mówiąc, w plomby i inne rodzaje zabezpieczonych opakowań zainwestowano ogromne pieniądze.
Niestety, większość plomb wciąż jest dość łatwa do pokonania. Typowa składa się z podłoża z nadrukiem zabezpieczającym, które następnie przykleja się lub zawiązuje wokół plombowanego przedmiotu. Musimy zatem najpierw przyjrzeć się zabezpieczeniom drukarskim. Jeśli całą plombę można łatwo sfałszować, to nie pomoże żadna ilość kleju ani sznurka.
16.3. Zabezpieczenia drukarskie
Wprowadzenie pieniądza papierowego do Europy przez Napoleona na początku XIX wieku oraz innych wartościowych dokumentów, takich jak papiery wartościowe na okaziciela i paszporty, zapoczątkowało bitwę między drukarzami papierów wartościowych a fałszerzami, która wykazuje wiele cech wspólnej ewolucji drapieżników i ofiar. Napastnikom pomogła fotografia (1839 r.), następnie obrońcom kolorowy druk i akwaforta (lata 50. XIX wieku). W ostatnich latach kolorowe kserokopiarki i tanie skanery zostały wyparte przez hologramy i inne znaki optycznie zmienne. Czasami te same osoby są zaangażowane po obu stronach, jak w sytuacji, gdy służby wywiadowcze rządu próbują sfałszować paszporty innego rządu - a nawet jego walutę, czego obie strony dopuszczały się podczas drugiej wojny światowej.
Czasami projektanci banknotów ulegają efektowi Titanica, za bardzo wierząc w najnowszą technologię i pokładając zbyt duże zaufanie w jakiejś konkretnej sztuczce. Przykład pochodzi z fałszowania brytyjskich banknotów w latach 90. XX wieku. Banknoty te mają nitkę okienkową - metalowy pasek o szerokości około 1 mm przechodzący przez papier i wychodzący na powierzchnię banknotu co 8 mm. Kiedy zatem patrzymy na banknot w świetle odbitym, wydaje się, że przebiega przezeń przerywana metaliczna linia, ale kiedy trzymamy go i oglądamy w świetle przechodzącym, metalowy pasek jest ciemny i jednolity. Uważano, że powielenie tego jest trudne. Jednak gang przestępców wymyślił cudowne rozwiązanie. Wykorzystano tani proces tłoczenia na gorąco, aby umieścić metalowy pasek na powierzchni papieru, a następnie za pomocą białego atramentu nadrukowano na nim jednolite paski, aby powstał oczekiwany wzorzec. Podczas procesu stwierdzono, że w ciągu kilku lat sfałszowano banknoty o wartości dziesiątek milionów funtów [697]. Obecnie brytyjskie banknoty mają być emitowane jako plastikowe, zgodnie z procesem zapoczątkowanym w Australii.
16.3.1. Model zagrożeń
Jak zawsze musimy ocenić technologię ochrony w kontekście modelu zagrożeń. Ogólnie rzecz biorąc, zagrożenie może przyjść ze strony dużej organizacji (takiej jak jeden kraj próbujący sfałszować banknoty innego kraju), organizacji średniej wielkości (gang przestępców fałszujący kilka milionów dolarów miesięcznie lub dystrybutor podrabiający etykiety na starych winach) czy amatorów korzystających ze sprzętu, który mają w domu lub w biurze.
W dziedzinie produkcji banknotów w ostatnich latach XX wieku odnotowano duży wzrost amatorskich fałszerstw. W branży poligraficznej rozpowszechniła się wiedza o tym, jak wytwarzać wysokiej jakości podróbki różnych banknotów, co jak można było sądzić, podniosłoby poziom profesjonalnych fałszerstw. Jednak upowszechnienie się wysokiej jakości kolorowych skanerów i drukarek skusiło wielu ludzi, którzy nigdy nie marzyli o fałszerstwie, gdy wymagało to kontaktu z brudzącą, mokrą farbą. Kiedyś amatorzy byli uważani za drobne utrapienie, ale od późnych lat 90. XX wieku odpowiadali za większość fałszerstw wykrywanych w Stanach Zjednoczonych. Z fałszerzami-amatorami trudno walczyć, ponieważ jest ich wielu. Przeważnie działają na tak małą skalę, że musi upłynąć dużo czasu, nim ich produkt zwróci na siebie uwagę władz. Rzadziej więc widnieją w rejestrach karnych. Banknoty, które produkują, często nie są wystarczająco dobre, aby zaakceptował je kasjer w banku, ale uchodzą w takich miejscach jak ciemne i hałaśliwe kluby nocne.
W branży wyróżnia się trzy odrębne poziomy badania sfałszowanego banknotu lub dokumentu [1939]:
(1) Badanie podstawowe (pierwszego poziomu) to kontrola dokonywana przez osobę nieprzeszkoloną i niedoświadczoną, taką jak zwykły klient lub nowy kasjer w sklepie. Często kontroler na tym poziomie nie ma motywacji, a nawet ma motywację negatywną. Jeśli dostanie banknot, który wydaje mu się nieco podejrzany, może spróbować przekazać go dalej, nie przyglądając mu się wystarczająco uważnie, aby uniknąć decydowania, czy to zgłosić, czy przymknąć na to oko.
(2) Badanie drugiego poziomu to kontrola przeprowadzana w terenie przez kompetentną i zmotywowaną osobę, np. doświadczonego kasjera bankowego w przypadku banknotów lub przeszkolonego inspektora producenta w przypadku etykiet produktów. Ta osoba może być wyposażona w jakiś specjalny sprzęt, taki jak lampa ultrafioletowa, długopis z odczynnikiem chemicznym, a nawet skaner i komputer. Jednak sprzęt będzie ograniczony zarówno pod względem kosztów, jak i wielkości, i w pełni rozpracowany przez profesjonalnych fałszerzy.
(3) Badanie trzeciego poziomu to kontrola przeprowadzana w laboratorium producenta lub banku emitenta. Na miejscu będą eksperci, którzy zaprojektowali zabezpieczenia drukarskie (a być może nawet leżące u jego podstaw procesy przemysłowe), wraz z odpowiednim sprzętem i wsparciem.
Stan techniki w obszarze zabezpieczeń drukarskich można podsumować w następujący sposób. Przepuszczenie podróbki przez kontrolę podstawową jest zwykle łatwe, natomiast przejście przez kontrolę trzeciego rzędu jest zwykle niemożliwe, jeśli produkt i proces kontroli zostały zaprojektowane w sposób kompetentny. Tak więc polem bitwy jest kontrola drugiego poziomu - z wyjątkiem kilku zastosowań, takich jak drukowanie banknotów, gdzie obecnie nacisk kładzie się na poziom podstawowy, gdzie ograniczeniami są umiejętności, a przede wszystkim motywacja. Główne ograniczenia dotyczące tego, jakie rodzaje podróbek mogą zostać wykryte podczas kontroli drugiego poziomu, wiążą się z masą i kosztem potrzebnego do tego sprzętu.
16.3.2. Techniki zabezpieczeń drukarskich
Przy tradycyjnym zabezpieczaniu dokumentów wykorzystuje się szereg procesów drukowania, w tym:
- wklęsłodruk (druk stalorytowy), proces, w którym do dociskania z dużą siłą atramentu do papieru jest używany wygrawerowany wzór, co pozostawia wypukłe odciski atramentu o wysokiej rozdzielczości. Jest to często używane do wzdłużnych nadruków na papierowych banknotach i na paszportach;
- druk typograficzny (druk wypukły), w którym atrament jest nakładany na wypukłą czcionkę, którą następnie dociska się do papieru, powodując wgłębienie. W ten sposób są zwykle drukowane numery na banknotach papierowych, często o różnych rozmiarach i przy użyciu różnych atramentów, aby zapobiec używaniu gotowych numeratorów;
- druk supermultaniczny, wykonywany na specjalnych maszynach drukarskich, które nanoszą wszystkie farby na papier jednocześnie, zarówno na awers, jak i na rewers. Dzięki temu nadruk na awersie i rewersie może być dokładnie wyrównany. Wzory mogą być drukowane częściowo na awersie, a częściowo na rewersie, dzięki czemu idealnie są ze sobą spasowane, gdy banknot jest oglądany pod światło (uzupełniający się druk obustronny, recto-verso). Uważa się, że odtworzenie tego jest trudne przy użyciu nisko budżetowego sprzętu do drukowania w kolorze. Maszyny supermultaniczne mają również specjalne kanały, dzięki którym można różnicować kolory atramentu wzdłuż linii (iryzacja - efekt tęczy);
- gumowe pieczątki używane do uwierzytelniania dokumentów lub "pieczętowania" przytwierdzonych do nich fotografii;
- tłoczenie (embossing) i laminowanie, które są również używane do "pieczętowania" fotografii oraz do kart bankowych w celu podniesienia kosztu wykonywania fałszerstw. Tłoczenie może być fizyczne lub wykorzystywać techniki grawerowania laserowego w celu wypalenia fotografii na dowodzie osobistym;
- znaki wodne, które są przykładem umieszczania zabezpieczeń w papierze. Są nimi bardziej przezroczyste obszary uzyskiwane w papierze przez zmianę jego grubości podczas produkcji. Do podobnych celów stosuje się wiele innych specjalnych materiałów, takich jak nitki zabezpieczające (fluorescencyjne).
Bardziej nowoczesne techniki obejmują:
- nowoczesne plastikowe banknoty, wprowadzone po raz pierwszy w Australii, umożliwiające umieszczenie różnych elementów w przezroczystym okienku;
- tusze zmienne optycznie, zmieniające kolor z zielonego na złoty w zależności od kąta patrzenia;
- tusze o właściwościach magnetycznych, fotochromowych lub termochromowych;
- drukowanie cech widocznych tylko przy użyciu specjalnych urządzeń, takich jak mikrodruk na banknotach amerykańskich, który wymaga szkła powiększającego, czy drukowanie farbami świecącymi w ultrafiolecie czy podczerwieni lub farbami magnetycznymi (ostatni z nich jest używany do czarnego druku na banknotach amerykańskich);
- metalowe nici i powłoki, od prostych elementów opalizujących, poprzez powłoki przepuszczające kolory, aż po powłoki z optycznie zmiennymi efektami, takie jak hologramy i kinegramy. Hologramy są zwykle wytwarzane optycznie i przedstawiają wrażenie obiektu trójwymiarowego, podczas gdy kinegramy są tworzone przez komputer i pod nieco różnymi kątami mogą przedstawiać wiele zaskakująco różnych obrazów;
- pułapki siateczkowe (ang. screen traps), takie jak zbyt drobne szczegóły, aby można je było prawidłowo zeskanować, czy struktury powodujące zjawisko aliasingu (ang. alias band structures), które zawierają szczegóły w takim rozmiarze, że w przy rozdzielczości (wielkości rastra) popularnych skanerów i kopiarek powstają efekty interferencji objawiające się tzw. morą;
- cyfrowe znaczniki praw autorskich, które mogą być różne, począwszy od obrazów ukrytych przez naniesienie ich transformaty Fouriera techniką mikrodruku, po prawnie chronione sygnały o widmie rozproszonym, które są rozpoznawane przez kolorowe kopiarki, skanery czy drukarki i powodują ich zatrzymanie. Najbardziej znany jest żółty wzór gwiazd w kształcie Krzyża Południa, który jest osadzony w projekcie wielu banknotów i uniemożliwia przetwarzanie go przez wiele skanerów i drukarek;
- unikalny materiał, jak np. propozycja Sandii polegająca na losowym rozłożeniu włókien optycznych podczas produkcji papieru, dzięki czemu każdy arkusz ma charakterystyczny wzór, który można podpisać cyfrowo i wydrukować na dokumencie za pomocą kodu kreskowego [1750].
Opis projektu banknotu 100-dolarowego przedstawiono w [1369], a studium fałszywych banknotów, wraz z analizą, które cechy dostarczają jakich dowodów, można znaleźć w [1940]. Ogólnie rzecz biorąc, autentyczności banknotów nie można łatwo potwierdzić, sprawdzając pojedyncze zabezpieczenie. Wiele starszych technik i niektóre nowsze można fałszować w sposób, który przejdzie podstawową kontrolę. Efekty dotykowe druku wklęsłego i wypukłego zanikają, więc standardową praktyką przy fałszowaniu banknotów jest ich zgniatanie i brudzenie, a wykwalifikowani fałszerze banknotów naśladują efekty znaków wodnych za pomocą bladoszarego druku (chociaż znaki wodne pozostają zaskakująco skutecznym zabezpieczeniem przeciwko amatorom). Hologramy i kinegramy mogą być podatne na działania osób korzystających z technik elektrochemicznych do wykonywania kopii mechanicznych; złoczyńcy, którzy sobie z nimi nie poradzą, mogą stworzyć od podstaw własne kopie wzorców.
Gdy w 1988 roku na brytyjskich kartach bankowych pojawił się hologram Szekspira, odwiedziłem fabrykę jako przedstawiciel banku i oznajmiono mi z dumą, że ponieważ branża zażądała drugiego źródła zaopatrzenia, przekazano zapasowy zestaw płyt do dużej firmy zajmującej się nadrukowywaniem zabezpieczeń - i nie była ona w stanie wyprodukować akceptowalnych powłok. (Hologram Szekspira był pierwszym komercyjnie używanym hologramem dyfrakcyjnym, który miał pełny kolor i "poruszał się" wraz ze zmianą kąta patrzenia). Z pewnością technologia, której nie może sfałszować nawet duża firma zajmująca się drukiem zabezpieczonym, mająca dostęp do oryginalnych matryc drukarskich, musi zapewniać całkowitą ochronę. Ale kiedy siedem lat później odwiedziłem Singapur, kupiłem podobny (ale większy) hologram Szekspira na pchlim targu. Była to wyraźna przechwałka producenta, że mógłby sfałszować brytyjskie karty bankowe, gdyby tylko chciał. W tamtym okresie ekspert policyjny oszacował, że w Chinach było ponad 100 fałszerzy, którzy potrafili wyprodukować zadowalające fałszywki [1442].
Gdy banknoty polimerowe zostały wprowadzone do Wielkiej Brytanii, w 2016 roku dla banknotów 5-funtowych i w 2017 dla banknotów 10-funtowych, powiedziano nam, że są one nie do podrobienia. Ale w 2018 roku wskazano nam, jak rozpoznawać fałszerstwa. Jedna z ofiar relacjonowała: "Przyjrzałem się bliżej i zobaczyłem, że brakuje Big Bena, a część numeru seryjnego i twarz królowej odpadały. Kiedy porównałem go z autentycznym banknotem, który już miałem, zauważyłem też, że srebrne paski były zielone" [1614]. Później w tym samym roku przedsiębiorczy gangsterzy sprzedawali plastikowe banknoty 20-funtowe, mimo że oficjalny banknot 20-funtowy miał zostać wprowadzony na rynek dopiero w 2020 roku.
Tak więc technologia stale się rozwija i nierozsądne jest poleganie na jednej metodzie ochrony. Nawet jeśli jedno zabezpieczenie zostanie całkowicie pokonane (na przykład, jeśli stanie się łatwe tworzenie mechanicznych kopii metalicznych powłok), mamy co najmniej jeszcze jedną zupełnie inną sztuczkę, na której możemy się oprzeć (na przykład optycznie zmienna farba).
Zaprojektowanie zabezpieczonego dokumentu jest jednak znacznie trudniejsze. Trzeba zapewnić złożony kompromis między ochroną, estetyką i solidnością, może również zmienić się nacisk biznesowy. Przez wiele lat projektanci banknotów dążyli raczej do tego, aby fałszerstwa nie przechodziły kontroli drugiego czy trzeciego poziomu niż bardziej powszechnej kontroli podstawowej. Bardzo długo załamywano ręce przy pokonywaniu trudności w szkoleniu osób w zakresie prawidłowego badania dokumentów, a zbyt mało uwagi poświęcono badaniu, w jaki sposób typowy użytkownik takiego produktu jak banknot faktycznie podświadomie decyduje, czy jest on do zaakceptowania. Innymi słowy, aspekt technologiczny przesłonił aspekt biznesowy.
Do tej pory wyciągnięto następujące wnioski [1939]:
- zabezpieczenia powinny przekazywać komunikat odnoszący się do produktu. Lepiej więc użyć opalizującej farby do wydrukowania nominału banknotu niż jakiejś trudno dostrzegalnej cechy, na którą nikt nie spojrzy;
- zabezpieczenia należy umieszczać tak, aby w modelu obiektu z budowanym w świadomości użytkownika stały się nieodłączną częścią zabezpieczanego przedmiotu;
- ich efekty powinny być oczywiste, wyraźne i zrozumiałe;
- nie powinny mieć konkurencji, która by mogła stanowić podstawę do imitacji;
- należy je ustandaryzować.
Te działania zasługują na znacznie szerszą uwagę, ponieważ społeczność zajmująca się banknotami, jedną z nielicznych subdyscyplin handlu, poświęciła wiele uwagi użyteczności zabezpieczeń. (Wielokrotnie widzieliśmy, że jedną z głównych wad produktów zabezpieczających jest ignorowanie użyteczności). Jeśli chodzi o dokumenty inne niż banknoty, takie jak paszporty, istnieją również kwestie związane ze środowiskiem politycznym kraju i obyczajami społeczeństwa, które będzie z nich korzystało [1295].
Użyteczność ma również znaczenie podczas kontroli na drugim poziomie, a tutaj kwestie są bardziej subtelne i dotyczą głównie procesu, który realizuje inspektor, aby odróżnić oryginał od podróbki.
W teorii banknoty są projektowane z około dwudziestoma cechami, które nie są upubliczniane. Osoby bardziej wtajemniczone, inspektorzy kontroli na drugim poziomie, tacy jak pracownicy banku, otrzymują informacje o niektórych z nich. Po pewnym czasie stają się one znane fałszerzom. W miarę upływu czasu ujawnianych jest coraz więcej cech. Ostatecznie, gdy wszystkie zostaną odkryte, banknot zostaje wycofany z obiegu i jest zastępowany innym. Proces ten może stać się trudniejszy, jeśli nacisk zostanie przeniesiony z weryfikacji ręcznej na automatyczną. Złodziej, który ukradnie automat przyjmujący pieniądze, rozmontuje go i odczyta oprogramowanie, zyska pełny i dokładny opis aktualnie sprawdzanych zabezpieczeń. Raz zajmie mu to kilka tygodni lub miesięcy, innym razem będzie mu znacznie łatwiej. Więc kiedy bank centralny przekaże producentom tajny wielomian dla cyfrowego znaku wodnego drugiego poziomu (lub cokolwiek innego) i zostanie on wdrożony, fałszerz może ukraść kolejną maszynę i uzyskać nowe dane w ciągu kilku dni. Tak więc wpadki mogą być bardziej niespodziewane i dotyczyć większej liczby zabezpieczeń niż w przypadku systemów manualnych, a cykl życia, śmierci i odrodzenia danego zabezpieczenia może być krótszy niż w przeszłości. Inną możliwością jest oczywiście to, że kraje rozwinięte całkowicie przejdą na płatności kartami, idąc w ślady bogatych prekursorów takich jak Szwecja i Finlandia, którzy już to wprowadzili.
W przypadku opakowań produktów typowy model biznesowy polega na tym, że poszukuje się podróbek, których próbki przekazuje się do laboratorium, gdzie naukowcy mają znalezienie, czym się one różnią - być może nie jest do końca poprawny hologram. Następnie wytwarzany jest sprzęt dla inspektorów działających w terenie, żeby mogli wyśledzić źródło podróbek. Jeśli ten sprzęt jest nieporęczny i drogi, jego praktyczne wykorzystanie w terenie będzie mniejsze. Jeżeli istnieje wiele różnych narzędzi do wykrywania fałszerstw pochodzących od różnych firm, to trudno przekonać celników do wykorzystania któregokolwiek z nich. Pomysły, takie jak drukowanie pojedynczych mikroskopijnych kodów kreskowych w ultrafiolecie na folii termokurczliwej, w którą pakowany jest produkt, często kończą się niepowodzeniem ze względu na koszt mikroskopu, laptopa i połączenia internetowego potrzebnego do przeprowadzenia weryfikacji. Podobnie jak w przypadku banknotów można stworzyć znacznie bardziej niezawodny system z wieloma cechami charakterystycznymi, ale to jeszcze bardziej zwiększa koszt i masę sprzętu do jego weryfikacji.
W przypadku instrumentów finansowych, a zwłaszcza czeków, znacznie większym problemem niż kopiowanie czy fałszowanie całości są przeróbki. W przypadku wielu oszustw fałszerze wyłudzali od firm prawdziwe czeki za pomocą trików, polegających na przykład na wpłacaniu depozytów lub dokonywaniu rezerwacji w gotówce, a następnie anulowaniu zamówienia. Ofiara odsyłała czek, który następnie był tak zmieniany, by opiewał na znacznie większą kwotę, często przy użyciu łatwo dostępnych domowych rozpuszczalników. Standardowym środkiem zaradczym jest drukowanie tła przy użyciu farb, które odbarwiają się i rozpuszczają w kontakcie z rozpuszczalnikiem. Ale ochrona nie jest kompletna z powodu sztuczek z usuwaniem tonera z drukarki laserowej (a nawet z użyciem prostych rzeczy, takich jak taśma korekcyjna od maszyn do pisania). Pewien przedsiębiorczy złoczyńca podarował nawet swoim ofiarom długopisy, które zostały specjalnie tak dobrane, aby miały łatwo usuwalny tusz [8].
Oszustwa związane z czekami miały wielokrotnie większą wartość niż oszustwa związane z kartami, a ponadto trudno było sobie z nimi poradzić ze względu na ogromną liczbę czeków przetwarzanych dziennie. Uniemożliwiało to ich kontrolę, z wyjątkiem tych opiewających na bardzo duże kwoty. Na Dalekim Wschodzie, gdzie do podpisywania czeków używa się osobistej pieczątki lub stempla podpisu, możliwa jest niskokosztowa automatyczna weryfikacja [931]. Jednak w przypadku podpisów odręcznych zautomatyzowana weryfikacja z akceptowalnym poziomem błędów nadal wykracza poza obecne możliwości techniczne (omawiam to w podrozdziale 17.2). Przyszłością dla firm jest przeniesienie płatności na przelewy bankowe. Niemcy, pionier w tej dziedzinie, na początku XXI wieku w znacznym stopniu stłamsiły oszustwa czekowe. Płatności SEPA sprawiają, że w strefie euro płatności elektroniczne są teraz znacznie szybsze i tańsze niż płatności czekiem.
Oczywiście modyfikacje dokumentów to nie tylko problem banków. Większość sfałszowanych dokumentów podróży jest modyfikowana, a nie podrabiana od podstaw. Zmieniane są nazwiska, zastępowane są zdjęcia oraz dodawane bądź usuwane strony. Z tego powodu kraje rozwinięte w dużej mierze przeszły na paszporty oparte na chipie. Goście z krajów, które nie mają jeszcze paszportów elektronicznych, mogą być zmuszeni do uzyskania wiz zawierających chipy lub wskazujących internetową bazę danych przechowującą dane biometryczne podróżnego.
16.4. Opakowania i plomby
Zabezpieczenie łańcucha dostaw wiąże się z problemami pakowania i plombowania. Zgodnie z definicją zespołu zajmującego się oceną podatności z Los Alamos, plomba to "środek umożliwiający ujawnienie manipulacji, zaprojektowany w celu pozostawienia nieusuwalnego, jednoznacznego dowodu nieupoważnionego dostępu lub manipulacji".
W większości przypadków plomba jest rodzajem etykiety wykonanej techniką pewnego rodzaju nadruku zabezpieczającego, a następnie przymocowanej do zabezpieczanego materiału. Zastosowania sięgają od produktów farmaceutycznych, przez kontenery ładunkowe, po urny wyborcze. Innego rodzaju plomby są wytwarzane zgodnie z tą samą ogólną filozofią, ale przy użyciu innych materiałów. Na najprostsze z nich to plastikowe opaski, które można łatwo zacisnąć, ale trudno poluzować bez przecięcia, a do najbardziej wyrafinowanych zalicza się światłowody, którymi okręcone są chronione obiekty i których stan naprężenia jest na bieżąco monitorowany za pomocą dołączonego znacznika laserowego.
16.4.1. Właściwości podłoża
Niektóre systemy zabezpieczeń polegają na wprowadzeniu do materiału podłoża przypadkowej zmienności. Wspomnieliśmy o sztuczce z umieszczaniem w papierze włókien optycznych. Istnieją również magnetyczne znaki wodne - w tym przypadku losowy sygnał o wysokiej koercji nagrywany na pasku karty można następnie odczytywać i zapisywać przy użyciu standardowego sprzętu o niskiej koercji bez zakłócania niepowtarzalnego losowego wzoru. Było to używane w kartach bankomatowych w Szwecji, kartach telefonicznych w Korei i kartach kontroli dostępu w niektórych budynkach na moim uniwersytecie.
Podobny pomysł zastosowano w kontroli zbrojeń podczas zimnej wojny. Powierzchnie wielu broni i materiałów są unikalne - na przykład na rysunku 16.1, gdzie przedstawiono powierzchnię papieru. Powierzchnie innych materiałów można także uczynić unikalnymi - na przykład na lufie czołgu można umieścić drobne wyżłobienia za pomocą małego ładunku wybuchowego. Wzorzec można zmierzyć z wykorzystaniem laserowej techniki plamkowej i zapisywać w dzienniku lub dołączać do sprzętu jako czytelny maszynowo podpis cyfrowy [1753]. Ułatwia to identyfikację głównych elementów wyposażenia, takiego jak ciężka artyleria, gdzie identyfikacja każdej lufy armatniej wystarczy, aby zapobiec oszustwom którejkolwiek ze stron. Plamkami laserowymi można nawet uwierzytelnić kawałek papieru, opisując chropowatość jego powierzchni w postaci kodu, który jest odporny na zagniecenia, suszenie, bazgranie, a nawet przypalenie [333]. Problem polega na znalezieniu zastosowania, w którym można uzasadnić stosowanie drogich skanerów na każdym końcu procesu.
Rysunek 16.1. Skaningowa mikrografia elektronowa papieru (za zgodą Ingenia Technology Ltd)
16.4.2. Problemy z klejem
Chociaż wyjątkowość oznaczenia może być skutkiem ubocznym jego produkcji, w większości przypadków plombowanie polega na umieszczeniu etykiety z nadrukiem zabezpieczającym na docelowym przedmiocie. Rodzi to jednak pytanie, w jaki sposób piękny kawałek opalizującej grafiki można przymocować do prymitywnego obiektu fizycznego w taki sposób, aby był bardzo trudny do usunięcia.
W szczególnym przypadku takiego opakowania odpornego na manipulację umieszczanie zabezpieczeń jest częścią procesu przemysłowego. Opakowaniem może być pojemnik ciśnieniowy z wyskakującym przyciskiem lub odłamywaną pokrywą. Typowym rozwiązaniem jest użycie kleju, który jest mocniejszy niż samo podłoże, tak aby plomba rozerwała się lub przynajmniej zauważalnie odkształciła po jej oderwaniu. Tak jest w przypadku plastikowych uszczelnień pod nakrętkami napojów czy blistrów z tabletkami.
Jednak w większości produktów realizacja tego pomysłu jest raczej kiepska. Wiele plomb jest narażonych na bezpośrednie usunięcie przy użyciu jedynie manualnych narzędzi i odrobiny cierpliwości. Weźmy ostry nóż i poeksperymentujmy z kilkoma kolejnymi listami, które przyjdą w samoprzylepnych kopertach. Wiele z tych kopert ma się rozdzierać, a nie otwierać. W tym celu przy klapce może znajdować się kilka naciętych podłużnych szczelin. Ale ten oczekiwany wskaźnik manipulacji zwykle zakłada, że ludzie otworzą przesyłkę, odrywając klapkę od reszty koperty. Lekko ją unosząc i przesuwając nóż w tę i z powrotem, często można przeciąć klej bez uszkodzenia klapki, a tym samym otworzyć kopertę bez pozostawiania podejrzanych śladów. (Niektóre kleje należy najpierw zmiękczyć za pomocą suszarki do włosów lub włożyć do zamrażarki, by stały się kruche). Albo można otworzyć kopertę na drugim końcu, gdzie nie zaaplikowano kleju w taki sposób, aby była widoczna manipulacja. Tak czy inaczej, prawdopodobnie otrzymamy kopertę, która po dokładnym zbadaniu będzie wyglądać na lekko zmiętą. Jeśli będzie to zauważalne, możemy wyprasować zagniecenia. Taki atak zwykle będzie skuteczny w przypadku kontroli podstawowej, ale prawdopodobnie zakończy się niepowodzeniem podczas kontroli trzeciego poziomu i równie dobrze może przejść kontrolę drugiego poziomu: podczas transportu listu przez pocztę zagniecenia i tak się zdarzają.
Wiele dostępnych na rynku plomb można pokonać za pomocą podobnie nieskomplikowanych sztuczek. Znanym przykładem jest winieta autostradowa używana w Szwajcarii i Austrii. Należy uiścić opłatę drogową, za którą dostajemy naklejkę na przednią szybę poświadczającą opłatę składki rocznej (lub na krótszy okres w przypadku wynajmu samochodu). Jeśli oderwiemy naklejkę z przedniej szyby, aby użyć jej w innym samochodzie, część atramentu odejdzie wraz z nalepką, ale część przyklei się do przedniej szyby. A zatem ludzie pokrywają kurzem klej przed naklejeniem nalepki, przesuwając ją tam i z powrotem po desce rozdzielczej. Zostało to uznane za wykroczenie i jeżeli zostaniemy przyłapani na takim procederze, czeka nas kara grzywny [1470].
16.4.3. Przesyłki z PIN-em
Obecnie wiele banków drukuje numery PIN klientów na specjalnych materiałach drukarskich. W dawnych czasach w korespondencji zawierającej numery PIN korzystano z papieru samokopiującego i drukarek igłowych. Kod PIN można było poznać, rozdzierając kopertę i wyciągając kartkę z odciśniętym numerem. Przejście od technologii uderzeniowej do technologii laserowej doprowadziło do tego, że wiele firm wynalazło specjalny rodzaj papeterii: z koperty należy wyciągnąć zakładkę, aby odczytać kod PIN. Pomysł polega na tym, że tak jak plomba nie może zostać naruszona bez pozostawienia widocznych śladów, tak z tej koperty nie można wyjąć kartki z kodem bez pozostawienia widocznych śladów. Typowe rozwiązanie polegało na umieszczeniu na kartce papieru, na której jest nadrukowany kod PIN, skrawka z nadrukowanym zaciemniającym wzorem i folią samoprzylepną. Pod folią była sztancowana, papierowa zakładka, którą można było oderwać wraz z zaciemniającym tłem, dzięki czemu PIN stawał się widoczny.
Moi studenci Mike Bond, Steven Murdoch i Jolyon Clulow mieli sporo zabawy ze znajdowaniem luk w kolejnych wersjach tych produktów. Wczesne produkty można było odczytać, trzymając je pod światło, tak aby odbijało się od powierzchni pod kątem około 10 stopni. Nieprzezroczysty toner był wyraźnie widoczny na błyszczącej warstwie samoprzylepnej. Kolejny atak polegał na zeskanowaniu wydruku, załadowaniu go do Photoshopa i odfiltrowaniu gęstej czerni tonera od szarości wydruku leżącego pod spodem. Następnym był termotransfer, czyli położenie czystej kartki papieru na kopercie i przejechanie po niej żelazkiem. Jeszcze innym był proces chemiczny przy użyciu bibuły i rozpuszczalników organicznych. Opisy tych działań zostały w 2004 roku przedstawione sektorowi bankowemu, a potem opublikowane w 2005 roku [285]. Banki wydały już zalecenia dla tego typu przesyłek. Jednak do dziś wciąż otrzymujemy przesyłki pocztowe, z których kod PIN jest łatwy do odczytania.
Jest to przykład systemu, który nie działa, a mimo to jest nadal stosowany. Jeśli oszust wie, że dostaniemy nową kartę bankową i może przechwycić naszą pocztę, to zwyczajnie weźmie i kartę, i kod PIN. Trudno sobie wyobrazić jakikolwiek prawdziwy atak udaremniony dzięki "zabezpieczonej przed manipulacją" przesyłce z kodem PIN. Czasami może to jedynie uniemożliwić członkowi rodziny przypadkowe poznanie kodu PIN. Ale tak samo może się zdarzyć, że od czasu do czasu znajdzie się klient, który odczyta kod PIN bez rozrywania karty, wypłaci dużo pieniędzy, a następnie stwierdzi, że tego nie zrobił. W takim przypadku bank prawdopodobnie powie: "to nas pozwij" i wyrzeknie się własnej przesyłki. Ale zagrożenia są szczątkowe w porównaniu z kwotą, która jest wydawana na te wszystkie fantazyjne artykuły papiernicze. Motywem takiego zachowania jest prawdopodobnie przestrzeganie zaleceń. Zbyt kłopotliwe jest ponowne przemyślenie zasad systemu, procedur audytu i inspekcji zabezpieczeń, które opracowano w epoce drukarek igłowych.
16.5. Systemowe luki w zabezpieczeniach
Przejdziemy teraz od specyficznych zagrożeń związanych z konkretnymi sztuczkami drukarskim i klejami do zagrożeń na poziomie systemu, których jest wiele.
Na naszym lokalnym basenie problem zatoru w okresach dużego ruchu jest rozwiązywany przez wydawanie pływakom opasek na rękę. Mniej więcej co dwadzieścia minut wydawany jest inny kolor, a od czasu do czasu wszystkie osoby z opaskami w określonym kolorze są proszone o opuszczenie basenu. Opaska jest wykonana z woskowanego papieru. Z jednej strony ma nadrukowany wzór i numer seryjny, a z drugiej klej. Papier jest przecięty w poprzek, co powoduje, że przy nieostrożnym oderwaniu ulega całkowitemu zniszczeniu: patrz rysunek 16.2. (Jest to podobne do plomb bagażowych używanych na niektórych lotniskach).
Rysunek 16.2. Opaska na nadgarstek z naszego lokalnego basenu
Najprostszy atak polega na wykorzystaniu strony internetowej dostawcy, gdzie pudełka zawierające 100 opasek kosztują około 8 dolarów. Jeśli nie chcemy wydawać pieniędzy, możemy użyć danego rodzaju opaski jeden raz, a następnie delikatnie ją poluzować, pociągając na przemian z różnych kierunków, uzyskując efekt pokazany na zdjęciu. Druk jest pognieciony, ale nienaruszony. Uszkodzenie nie jest widoczne dla osoby obsługującej basen, i w rzeczywistości mogło zostać spowodowane nieostrożnym zakładaniem. Chodzi o to, że uszkodzenie plomby spowodowane jej dwukrotnym, ostrożnym założeniem niełatwo było odróżnić od skutków działania naiwnego użytkownika, który użył jej raz. Jeszcze skuteczniejsze oszustwo polega na nieusuwaniu w ogóle taśmy zabezpieczającej z plomby, ale użyciu agrafki lub własnego kleju do jej naprawy.
Mimo to opaska na nadgarstek doskonale spełnia swoje zadanie. Istnieje niewielka zachęta do oszukiwania: kandydaci na olimpijczyków, którzy pływają na całej długości basenu przez dwie godziny bez przerwy, korzystają z niego, gdy nie jest zatłoczony. Kupują też karnet, dzięki czemu w każdej chwili mogą wyjść po nową opaskę. Ale obrazuje to również wiele rzeczy, które mogą pójść niezgodnie z planem. Klient jest wrogiem. To on zakłada plombę. Skutki jej ponownego użycia są nie do odróżnienia od efektów przypadkowego uszkodzenia, a nowe plomby można kupić na rynku. Podrobione da się również wytworzyć niewielkim kosztem, a skuteczna kontrola to rzecz niewykonalna. (A jednak to zabezpieczanie plombą korzystania z basenu wciąż jest trudniejsze do pokonania niż wiele rozwiązań zabezpieczających o dużej wartości sprzedawanych do zastosowań przemysłowych).
16.5.1. Specyfika modelu zagrożeń
W systemach wojskowych przeciwnikiem jest nielojalny żołnierz lub siły specjalne drugiej strony próbujące sabotować nasz sprzęt. W systemach monitorowania jądrowego może to być rząd gospodarza próbujący sprzeniewierzyć materiały rozszczepialne z koncesjonowanego reaktora cywilnego. W przypadku systemów do głosowania sprawcami większości naruszeń systemu są urzędnicy wyborczy.
Jedne z najtrudniejszych zadań związanych z plombowaniem pojawiają się wtedy, gdy to wróg nakłada plombę. Typowy przypadek biznesowy ma miejsce, gdy firma zleca podwykonawcom produkcję niektórych swoich produktów i obawia się, że wykonawca wyprodukuje więcej towarów, niż uzgodniono. Pod względem wartości nadprodukcja stanowi główne źródło podrabianych produktów na całym świecie. Fałszerze mają dostęp do autoryzowanego procesu produkcyjnego i surowców, a szara strefa oferuje naturalne kanały dystrybucji. Nawet wykrycie takich oszustw - nie mówiąc już o udowodnieniu ich przed sądem - może być trudne.
Typowe rozwiązanie dla towarów o dużej wartości, takich jak kosmetyki, może polegać na pozyskiwaniu materiałów opakowaniowych od wielu różnych firm, których tożsamość jest utrzymywana w tajemnicy przed firmą obsługującą zakład końcowej produkcji. Niektóre z tych materiałów mogą mieć numery seryjne osadzone na różne sposoby (np. poprzez grawerowanie laserowe szklanych butelek lub drukowanie na celofanie farbami widocznymi tylko w świetle UV). Może istnieć usługa online, dzięki której agenci terenowi producenta mogą weryfikować numery seryjne próbek zakupione losowo w sklepach, lub na opakowaniu może znajdować się możliwy do sprawdzenia offline podpis cyfrowy łączący wszystkie różne numery seryjne.
Są ograniczenia dotyczące tego, co można uzyskać, stosując jedynie plomby. Czasami sam właściciel marki jest fałszerzem, jak w przypadku, gdy winnica fałszuje etykiety, oznaczając jako dobry rocznik dodatkowy tysiąc skrzynek wina, które faktycznie zostało wyprodukowane z nabytej w skupie mieszanki winogron. Dlatego wszystkie butelki południowoafrykańskiego wina są opatrzone pieczęcią kontrolowaną przez rząd z unikalnym numerem seryjnym. W tym przypadku pieczęć nie dowodzi oszustwa, ale utrudnia nieuczciwemu winiarzowi uniknięcie innych kontroli, takich jak inspekcja czy audyt. Mechanizmy plombowania zwykle muszą być zaprojektowane z myślą o innych uzupełniających procesach kontrolnych.
Same inspekcje mogą okazać się trudniejsze, niż mogłoby się wydawać. Dystrybutor, który nabył podrobiony towar w szarej strefie, wierząc, że jest on autentyczny, bez zamiaru popełnienia przestępstwa, może tym samym wprowadzić w błąd inspektorów. Tam, gdzie problemem są szare strefy, produkty kupione od "Freda" zostaną szybko wypchnięte klientom, co sprawi, że inspektorzy zastaną w jego magazynie tylko produkty autoryzowane. Ponadto, dystrybutor może być zupełnie nieświadomy. Działać może jego personel, który handluje podróbkami. Dobrze znanym oszustwem jest kupowanie przez pracowników linii lotniczych podrobionych perfum, zegarków itp. podczas wizyty w krajach o nieuregulowanych rynkach i sprzedawanie ich klientom w czasie lotu [1144]. Zapasy znajdujące się w magazynach linii lotniczych (oraz w wózkach wolnocłowych po wylądowaniu samolotów) będą zatem całkowicie oryginalne. Dlatego zwykle konieczne jest, aby agenci wyszli w teren i dokonywali zakupów próbek, a mechanizmy plombujące powinny to wspierać.
16.5.2. Środki przeciwko nieuczciwości
To, czy plomba dobrze przylega do zaplombowanego przedmiotu, może również zależeć od uczciwości i staranności personelu niższego szczebla. Wspomniałem w punkcie 14.3.2.2, w jaki sposób w systemach ograniczników prędkości w samochodach ciężarowych zabezpiecza się czujnik skrzyni biegów za pomocą kawałka drutu, który warsztat plombuje ołowianą pieczęcią zaciśniętą specjalnymi szczypcami. Złamanie tego zabezpieczenia polega na przekupieniu mechanika w warsztacie, by ten nieprawidłowo owinął drut, tak aby po odkręceniu czujnika od skrzyni biegów poluzował się, nie powodując odkręcenia ani zerwania plomby. To łatwiejsze niż pójście na amatorskie zajęcia z rzeźbiarstwa, gdzie można zrobić odlew pieczęci i wykuć parę szczypiec do pieczęci z brązu.
Osoby zakładające plomby mogą być zarówno nieostrożne, jak i skorumpowane. Na niektórych lotniskach na sprawdzone bagaże tuż po ich prześwietleniu nakłada się plomby w pobliżu kolejki do odprawy. Mniej więcej w połowie przypadków, gdy mój bagaż poddawano takiej praktyce, taśma była źle zamocowana. Albo nie przeszła przez zapięcie między walizką a jej pokrywą, albo odpadła z jednego końca, albo walizka miała kilka przegródek wystarczająco dużych, by pomieścić w nich bombę, ale tylko jedno z ich mocowań było zaplombowane. Tak czy inaczej, ochrona lotnisk to głównie teatrzyk.
Wiele interesujących badań nad plombami skupia się na ich użyteczności. Ogromnym problemem jest sprawdzenie, czy pracownicy, którzy mają je weryfikować, faktycznie to robią. W slangu marynarskim ludzi, którzy udają, że wykonali swój obowiązek, ale w rzeczywistości palili papierosa na pokładzie armatnim, obdarza się mianem gundecking. Jeśli więc naszym zadaniem jest kontrola plomb na tysiącach kontenerów transportowych przybywających do portu, w jaki sposób możemy się upewnić, że nasi pracownicy faktycznie przyjrzą się każdej z nich?
Jeden ze sposobów radzenia sobie w takim przypadku polega na umieszczeniu w każdej plombie kontenera małego procesora z generatorem kluczy kryptograficznych, który mniej więcej co minutę generuje nową wartość. Wtedy zadaniem kontrolera jest odwiedzenie wszystkich przybywających kontenerów i zapis generowanych w nich wartości. W przypadku wykrycia, iż doszło do manipulacji, urządzenie kasuje swój klucz i nie generuje kolejnej wartości. Jeśli kontroler nie dostarczy ważnego kodu plomby z jednego z kontenerów, wiemy, że coś jest nie tak albo z nim, albo z kodem. Takie plomby są również znane jako plomby "przeciwdowodowe": chodzi o to, że przechowuje się informacje, że urządzenie nie zostało naruszone, a niszczy je, gdy dojdzie do manipulacji, nie pozostawiając niczego, co przeciwnik mógłby sfałszować.
Nieostrożność i korupcja wzajemnie na siebie oddziałują. Jeśli nieostrożnie postępuje wystarczająca liczba pracowników nakładających lub weryfikujących plombę, to w przypadku przekupienia jednego z nich wynikający z tego defekt sam w sobie nie stanowi dowodu na nieuczciwość.
16.5.3. Skutki przypadkowych uszkodzeń
Do podobnych skutków może dojść podczas pęknięcia plomby z całkiem niewinnych powodów. Na przykład, często dochodzi do pęknięć plomby ogranicznika prędkości w czasie, gdy silnik ciężarówki jest czyszczony parą. Jeśli złamana plomba jest jedynym dowodem, który może zostać znaleziony przez policjanta drogówki, kierowca nie będzie ścigany za manipulację (i kierowcy ciężarówek o tym wiedzą).
Po otwarciu odpowiednio zapieczętowanej koperty szpieg może ją ponownie zamknąć za pomocą naklejki z napisem "Otwarte przez urząd celny" lub "Uszkodzenie w transporcie - zapieczętowane przez urząd pocztowy". Może nawet zwyczajnie zakleić taśmą i napisać na przodzie "Dostarczono pod zły adres, proszę spróbować ponownie".
Konsekwencje takich uszkodzeń i ataków należy dokładnie przemyśleć. Jeśli celem ochrony jest zapobieganie fałszerstwom produktu na dużą skalę, sporadyczne uszkodzenia mogą nie mieć znaczenia, jeżeli jednak ma to na celu wspieranie ścigania, samoistne uszkodzenie pieczęci może stanowić poważny problem. W skrajnych przypadkach nadmierne zaufanie do solidności pieczęci może doprowadzić do pomyłki sądowej i podważyć wartość dowodową (a tym samym handlową) produktu pieczętującego.
Mój przykład tego pochodzi z lokalizatora służącego do pilnowania godziny policyjnej, który szczegółowo opisałem w podrozdziale 14.4. Sprzedawcy opasek przedstawiali imponujące marketingowe argumenty świadczące o odporności ich produktów na manipulacje, odmówili jednak udostępnienia próbek do testów przez obronę, gdy zostało to zakwestionowane w sądzie. Podejrzanych o terroryzm zwolniono, gdy nie było uzasadnienia dla nakazów kontroli, a firmy produkujące lokalizatory utraciły ostatecznie swoje kontrakty z powodu wykroczeń natury karnej, polegających na tym, że obciążały Ministerstwo Sprawiedliwości rachunkami za znakowanie lokalizatorami osób, które zmarły lub przebywały w więzieniu. Ostatecznie zapłaciły też wielomilionowe grzywny, podobnie jak ich audytorzy [194].
16.5.4. Nadzór nad materiałami
Kolejną powszechną słabością jest brak nadzoru nad dostawami materiałów do tworzenia plomb. Dobry przykład stanowią pieczęcie kancelaryjne. W Wielkiej Brytanii do potwierdzania (pieczętowania) ważnych dokumentów używa się specjalnych szczypiec, do których zazwyczaj są wkładane dwie metalowe wytłaczające płytki. Płytki są produkowane przez kilku dostawców, a prawnik, który zamówił ich setki, powiedział mi, że nigdy nie dokonano żadnej ich weryfikacji. Chociaż zamawianie pieczęci dla "Microsoft Corporation" może być nieco ryzykowne, wykonanie plomby dla prawie każdego mniej znanego podmiotu powinno być łatwe: wszystko, co trzeba zrobić, to napisać list, który wygląda, jakby pochodził z kancelarii prawnej. Prawdziwym celem stosowania pieczęci nie jest zapobieganie fałszerstwu, ale umożliwienie kancelariom prawnym naliczania dodatkowych opłat za dokumenty, które muszą być opatrzone pieczęciami.
Poważniejszym przykładem jest bazowanie przemysłu farmaceutycznego na blistrach, czasami uzupełnionych hologramami i farbami zmieniającymi kolor. Wszystkie te technologie są dostępne dla każdego, kto chce je kupić, nie są też szczególnie drogie. Albo rozważmy plastikowe koperty stosowane przez niektóre firmy kurierskie. Koperty te zaprojektowano tak, aby podczas otwarcia rozciągały się i rozrywały. Dopóki można wejść prosto z ulicy i pobrać nienaruszone koperty z magazynu, istnieje małe prawdopodobieństwo, że odstraszą one każdego, kto zainwestuje trochę czasu i wysiłku w zaplanowanie ataku. Może podmienić opakowanie zarówno przed przejęciem przesyłki przez firmę kurierską, jak i po jej przebyciu przez sieć kurierską.
"Miejską legendą" jest również to, że policja i służby bezpieczeństwa nie mogą bez śladu otwierać kopert, jeśli ich skrzydełka są dodatkowo zaklejone taśmą klejącą, którą dociśnięto paznokciem (niedawno otrzymałem jakieś dokumenty z banku, które zostały zapieczętowane właśnie w taki sposób). Nie do końca należy w to wierzyć - nawet jeśli żadne laboratorium policyjne nie wynalazło magicznego rozpuszczalnika do kleju z taśm samoprzylepnych, już dziewiętnastowieczna policja carska używała rozwidlonych szpatułek do zwijania listów w zapieczętowanej kopercie, aby można je było wyciągnąć, przeczytać, a następnie włożyć z powrotem do koperty [1003]. Tamtejsi autorzy listów, a tak naprawdę ci w całej Europie, stosowali zabezpieczanie listów - złożone systemy fałd, szczelin i pieczęci, które, jak mieli nadzieję, uwidoczniłyby manipulację [368].
Nawet gdyby taśma samoprzylepna pozostawiła widoczny ślad na kopercie, ktoś mógłby przypuszczać, że policyjny wydział otwierający koperty z użyciem pary nie ma zapasów porównywalnych kopert i że odbiorca byłby na tyle spostrzegawczy, że zauważyłby sfałszowaną kopertę. Biorąc pod uwagę łatwość, z jaką można zeskanować kopertę z firmowym logo, a następnie powielić ją na taniej kolorowej drukarce, założenia te są dość ambitne. Pojawienie się kolorowych drukarek biurkowych spowodowało, że wiele organizacji przestało używać wstępnie nadrukowanych materiałów piśmienniczych. To znacznie ułatwia pracę fałszerzom.
16.5.5. Brak ochrony właściwych rzeczy
W sytuacjach, gdzie informacja może zostać zakodowana na dwa różne sposoby, można oczekiwać, że przestępcy wykorzystają każdą różnicę, a nawet ją sprokurują. Karty kredytowe stały się podatne na fałszerstwa pod koniec lat 80. ubiegłego wieku, kiedy banki wprowadziły terminale autoryzacyjne odczytujące pasek magnetyczny, podczas gdy maszyny używane przez większość sprzedawców do drukowania kwitów do podpisania przez klienta wykorzystywały wytłoczenia, a większość sprzedawców traktowała podpisane kwity, jak gdyby to były czeki. Oszuści, którzy zmieniali zapis na pasku magnetycznym, ale nie wytłoczenie, pokonywali system. Są również ataki polegające na częściowych modyfikacjach. Na przykład karty kredytowe miały kiedyś hologramy, ale ponieważ pokrywały one tylko cztery ostatnie cyfry, atakujący zawsze mógł zmienić pozostałych dwanaście. Gdy znany był algorytm generowania numerów kart kredytowych przez bank, wymagało to jedynie spłaszczenia, przedrukowania i ponownego wytłoczenia reszty karty, co można było zrobić tanim sprzętem. Takie ataki są już przestarzałe, podobnie jak nie są już w użyciu maszyny do przechwytywania szkiców adresografów. Tak czy siak, hologram mówił: "To była kiedyś ważna karta", przez co większość banków już tego nie używa.
Wreszcie, producenci żywności i leków często używają opakowań z folii termokurczliwej lub blistrów, które - jeśli są dobrze zaprojektowane - mogą dla amatorów być umiarkowanie trudne do sfałszowania na tyle dokładnie, aby wytrzymały gruntowną kontrolę. Jednak przy wyborze środków ochronnych trzeba bardzo jasno określić model zagrożenia - czy jest to podrabianie, zmiana, powielanie, symulacja, dywersja, rozmycie, podmiana, czy coś innego [1527]. Jeśli modeluje się zagrożenia, które może spowodować psychotyk ze strzykawką pełną trucizny, to zwykłe opakowanie typu blister lub folia termokurczliwa nie wystarczy. To, co naprawdę jest potrzebne, to membrana wskazująca na manipulacje, która zareaguje w sposób widoczny i nieodwracalny na nawet niewielką penetrację. (Takie membrany istnieją, ale są nadal zbyt drogie dla produktów konsumenckich. Omawiam je w rozdziale dotyczącym odporności na manipulacje).
16.5.6. Koszt i charakter kontroli
W branży krąży wiele opowieści o fałszerzach, którzy zamieniają obraz holograficzny na karcie bankowej na inny - powiedzmy gołębia na królika - po czym sklepikarze mówią tylko: "O, spójrz, zmienili hologram!". To nie jest krytyka hologramów, ale znacznie głębsze zagadnienie psychologii stosowanej i edukacji publicznej. Bankierzy martwią się, gdy są wprowadzane nowe banknoty - kilka tygodni, podczas których wszyscy zapoznają się z nowymi banknotami, może być bonanzą dla fałszerzy.
Związanym z tym problemem jest ogromna różnorodność paszportów, praw jazdy, papierów firmowych, pieczęci korporacyjnych oraz wariantów opakowań. Bez próbek oryginalnych artykułów do porównania kontrola jest mniej więcej ograniczona do poziomu podstawowego, więc fałszerstwo jest łatwe. Chociaż urzędnicy bankowi mają książki ze zdjęciami zagranicznych banknotów, a urzędnicy imigracyjni - zdjęcia zagranicznych paszportów, często są to tylko pobieżne informacje na temat zabezpieczeń. Oszuści przez korumpowanie często zdobywają oryginalne paszporty i dowody osobiste (i to nie tylko z krajów mniej rozwiniętych). Aha, a brak prawdziwych próbek fizycznych oznacza, że nie mogą być odpowiednio zbadane aspekty dotykowe.
Nieco szokujący eksperyment przeprowadziła Sonia Trujillo na 7. sympozjum dotyczącym plomb zabezpieczających w Santa Barbara w marcu 2006 roku. Manipulowała przy dziewięciu z trzydziestu różnych produktów żywnościowych i leków, używając jedynie ataków na niskim poziomie zaawansowania technologicznego oraz zaprosiła 71 ekspertów w celu wykrycia manipulacji i odróżnienia ich od siebie. Każda z osób została poproszona o wybranie dokładnie trzech z dziesięciu produktów, które ich zdaniem zostały sfałszowane. Eksperci nie spisali się lepiej niż przypadkowe osoby, mimo że większość z nich poświęciła znacznie więcej niż cztery sekundy na produkt, do którego zostali przydzieleni. Jeśli eksperci nie są w stanie wykryć manipulacji, nawet jeżeli powiedziano im, że do niej doszło, jakie szanse ma przeciętny konsument?
Tak więc plomba czy pieczęć, która może zostać sprawdzona przez zwykłą osobę lub personel po minimalnym przeszkoleniu i bez dostępu do internetowej bazy danych, pozostaje raczej ideałem niż rzeczywistością. Głównym celem zabezpieczania opakowań jest uspokojenie klienta. Drugorzędne cele obejmują minimalizację zwrotów produktów, należytą staranność i zmniejszenie zasądzeń przyznanych przez ławę przysięgłych. Odstraszanie niekompetentnych manipulatorów jest gdzieś dalej.
Firmy, które poważnie traktują fałszerstwa, takie jak producenci towarów luksusowych, przejęły wiele technik początkowo stosowanych przez drukarnie banknotów. Jednak opakowania produktów o wysokiej wartości są trudniejsze do ochrony niż banknoty. Ważne jest obeznanie: ludzie "czują" rzeczy, z którymi często mają do czynienia, takie jak lokalne pieniądze, ale jest znacznie mniej prawdopodobne, że zauważą coś złego w opakowaniu, które widzą rzadko - na przykład w opakowaniu wyszukanego kosmetyku lub w drogiej butelce wina. Z tego powodu większość działań związanych z ochroną produktów zawierających elektronikę została przeniesiona do mechanizmów rejestracji online. W niektórych produktach zastosowano w tym celu elektronikę, podczas gdy w innych, które już ją mają, użyto chipów wi-fi.
Jedna z możliwości polega na zwerbowaniu zwykłych ludzi jako inspektorów nie tyle opakowań, ile unikalnych numerów seryjnych. Zamiast ukrywać te numery w chipach RFID, sprzedawcy mogą je umieszczać na etykietach produktów, a ci, którzy się martwią, czy otrzymali oryginalny produkt, mogą skontaktować się w celu weryfikacji. Może to często lepiej dopasować pobudki, ale może być i trudniejsze, niż się wydaje. Na przykład, kiedy Microsoft dostarczył wersję beta oprogramowania antyszpiegowskiego, zainstalowałem je na rodzinnym komputerze, którego kopia systemu Windows została natychmiast określona jako nielegalna. A ponieważ komputer został kupiony w normalnym sklepie, zwyczajnie nie potrzebowałem kłopotów z wyjaśnianiem tego. Szczególnie nie podobało mi się ich początkowe stanowisko negocjacyjne, a mianowicie, że powinienem wysłać im więcej pieniędzy. W końcu dali nam kolejną kopię systemu Windows. Ale od tej pory nie kupiliśmy już kolejnej maszyny z systemem Windows.
16.6. Metodyka oceny
Rozważania te sugerują potrzebę systematycznego sposobu oceny plomby zabezpieczającej w danym zastosowaniu. Zamiast zadawać pytanie: "Czy można usunąć plombę w inny sposób niż oczywisty?", musimy prześledzić całość od projektu i praktycznych testów, poprzez produkcję, zastosowanie, użytkowanie, sprawdzanie, niszczenie i wreszcie wycofanie z eksploatacji. Oto niektóre z pytań, które należałoby zadać:
- Jeśli plomba jest sfałszowana, to kto ma to zauważyć? Jeżeli jest to zwykła osoba, to jak często będzie mieć ona styczność z autentycznymi plombami? Czy sprzedawca przeprowadził odpowiednie eksperymenty w celu ustalenia prawdopodobnych wskaźników fałszywych akceptacji i fałszywych odrzuceń? Jeśli będą to nasi kontrolerzy w terenie, to ile będzie kosztować sprzęt i ich przeszkolenie? I jak silnie ci kontrolerzy - publiczni czy profesjonalni - są zmotywowani do znajdowania i zgłaszania uszkodzeń?
- Czy ktoś, kto naprawdę zna się na rzeczy, próbował pokonać system? A co w ogóle można uznać za pokonanie - manipulację, fałszerstwo, zmianę, erozję wartości dowodowej czy atak "PR" na naszą wiarygodność handlową?
- Jaką opinią cieszy się zespół, który ją zaprojektował - czy ma na koncie sukcesy w pokonywaniu produktów przeciwników?
- Jak długo działa to w praktyce i jakie jest prawdopodobieństwo, że postęp znacznie ułatwi pokonanie?
- Kto jeszcze może kupować, podrabiać czy kraść materiały plombujące?
- Czy osoba zakładająca plombę będzie kiedykolwiek mogła być nieostrożna czy skorumpowana, a jeśli tak, to jak sobie z tym poradzimy?
- Czy plomba ochroni odpowiednią (lub wystarczającą) część produktu?
- Jakie są problemy z jakością? A co ze skutkami brudu, oleju, szumu, wibracji, oczyszczania i wad produkcyjnych? Czy produkt będzie musiał przetrwać zewnętrzne warunki atmosferyczne, zachlapanie benzyną, noszenie przy skórze lub wrzucenie do szklanki z piwem? A może ma w widoczny sposób zareagować, jeśli coś takiego się wydarzy? Jak często będą dochodzić do przypadkowych uszkodzeń plomby i jaki będą one miały skutek?
- Jeśli dojdzie do postępowania sądowego, czy są eksperci inni niż nasi (lub sprzedawcy), na których druga strona może polegać? Jeśli odpowiedź brzmi "nie", to czy to dobrze, czy źle? Dlaczego sędziowie powinni uwierzyć nam, twórcom systemu, a nie słodkiej starszej damie na ławie oskarżonych? Czy sędzia wypuści ją na podstawie sprawiedliwego procesu - ponieważ odparcie naszych roszczeń będzie wymagało od niej ciężaru dowodowego niemożliwego do przeprowadzenia? A co się stanie, jeśli sprzedamy swoją firmę komuś, kto sprzeda ją oszustowi?
- W jaki sposób plomby zostaną zutylizowane po zużyciu produktu - czy będziemy się przejmować, jeśli ktoś wydobędzie kilka starych plomb ze śmietnika?
Pamiętajmy, że pokonanie plomby oznacza oszukanie innych, a nie wygranie ze sprzętem. Należy zastanowić się więc, czy ludzie, którzy zakładają i sprawdzają plomby, wykonują swoje zadania starannie i skutecznie. Przeanalizujmy motyw, możliwości, umiejętności, audytowalność i odpowiedzialność. Bądźmy szczególnie ostrożni, gdy plombę zakłada nieprzyjaciel (jak w przypadku produkcji kontraktowej) lub ktoś skłonny do korupcji (na przykład warsztat samochodowy spragniony zlecenia od firmy transportowej). Wreszcie, zastanówmy się nad prawdopodobnymi konsekwencjami wadliwych plomb i błędów wykrywanych w trakcie kontroli nie tylko z punktu widzenia firmy klienta i jej przeciwników, ale także z punktu widzenia niewinnych użytkowników systemu i dowodów prawnych.
Ten proces sprawdzania całego cyklu życia jest tylko mikrokosmosem dla procesu weryfikacji, który należy zastosować generalnie w stosunku do całych systemów. Zostanie to omówione bardziej szczegółowo w części 3.
16.7. Podsumowanie
Większość dostępnych na rynku produktów związanych z plombowaniem jest stosunkowo łatwa do pokonania. To stwierdzenie jest w szczególności prawdziwe, gdy kontrola plomb jest wykonywana okazjonalnie przez osoby nieprzeszkolone, bez motywacji lub przez jedne i drugie (co często ma miejsce). Plomby muszą być badane przez cały okres ich eksploatacji, począwszy od produkcji, poprzez kontrolę materiałów, użycie, weryfikację i ostateczne zniszczenie. W krytycznych zastosowaniach wysoce zalecane jest testowanie we wrogich środowiskach. Plombowanie często polega na druku zabezpieczonym, co do którego można sformułować zasadniczo podobne uwagi.
Problemy badawcze
Jest to obszar, w którym wiele pomysłów pojawiało się i znikało bez wywarcia większego wpływu. Bez wątpienia reklamowanych będzie wiele wymyślnych nowych technologii służących zabezpieczeniu produktów i wykrywaniu fałszerstw, od nanocząsteczek, przez ciecze magnetyczne, po DNA. Ale dopóki rynki są zepsute, a ludzie ignorują problemy na poziomie systemu, co dobrego z tego wyniknie? Czy któraś z tych technologii oferuje nowatorskie właściwości, które pozwalają nam stawić czoła trudnym problemom podstawowej kontroli?
Jednym z rozwiązań na przyszłość mogą być automatyczne systemy kontroli. Jednym z przykładów jest utrzymanie łańcucha chłodniczego. Niektóre produkty, takie jak szczepionki, muszą być przechowywane w temperaturze niższej niż 4°C i są już dostarczane z rejestratorami w pojemniku lub na palecie, które monitorują temperaturę i umożliwiają identyfikację awarii. Istnieją również paski wskaźnikowe, które pokazują inny kod kreskowy na podstawie reakcji chemicznej, jeśli zostanie przekroczony pewien próg. Dobrym miejscem do wypróbowania nowych pomysłów mogą być podlegające regulacjom branże związane z produktami o kluczowym znaczeniu dla bezpieczeństwa, takie jak farmaceutyka.
Znacznie trudniejszym problemem jest to, jak pomóc konsumentowi dóbr pochodzących z tych gałęzi gospodarki, które nie podlegają restrykcyjnym regulacjom. Większość podróbek i skażonych produktów jest wprowadzana na poziomie detalicznym, który zwykle jest bardzo rozproszony. Ale stosując różne rozwiązania technologiczne, można by to naprawić. I być może rozwiązanie nie leży w odpowiednim opakowaniu, ale w działaniach regulacyjnych przeciwko dużym detalistom, takim jak Amazon. Jego rynek i usługi realizacji zamówień stają się najbardziej niepokojącym kanałem dystrybucji wielu podrabianych produktów, a także towarów, które agencje rządowe uznały za niebezpieczne, mają fałszywe oznakowanie lub zostały zakazane przez organy regulacyjne, w tym zabawki dla dzieci zawierające niebezpieczne ilości ołowiu [591]. Wygląda na to, że na polu regulacji prawnych zostanie stoczona jedna z wielkich bitew między rządami a gigantami technologicznymi. Być może jest to nieunikniony efekt skali: jeżeli wszyscy są na Facebooku, to znajdują się tam również wszyscy dziwacy, prześladowcy i ekstremiści świata, a jeśli wszyscy kupcy świata używają Amazona do wysyłania swoich produktów, to można spodziewać się tam czegoś podobnego. Podejrzewam, że w końcu Amazon będzie zmuszony zatrudnić dziesiątki tysięcy kontrolerów zabezpieczeń i zgodności produktów, tak jak Facebook został zmuszony do zatrudnienia dziesiątek tysięcy moderatorów treści. Jednak przepisy zwykle spóźniają się w stosunku do technologii o mniej więcej piętnaście lat. Równolegle jednak nadal będą rozwijane technologie zabezpieczeń drukarskich i technologie plombowania - aczkolwiek będzie temu wciąż towarzyszyło rosnące przechodzenie na rejestrację produktów online.
Materiały uzupełniające
Bardzo konkretnym podręcznikiem dotyczącym zabezpieczeń drukarskich jest książka van Renessena [1939], w której są omówione nie tylko sztuczki techniczne, takie jak hologramy i kinegramy, ale także to, jak sprawdzają się one w różnych zastosowaniach, od drukowania banknotów, przez paszporty, po opakowania. To bardzo ważna podstawowa lektura.
Niezbędne informacje dotyczące plomb i pieczęci można znaleźć w wielu publikacjach zespołu Rogera Johnstona zajmującego się oceną podatności tego typu narzędzi (np. [991]).
Historia fałszerstw jest fascynująca. Począwszy od uzyskania niepodległości aż do wojny secesyjnej Amerykanie używali banknotów emitowanych przez banki prywatne, a nie przez rząd, zaś fałszerstwa były na porządku dziennym. Banki mogły walczyć z lokalnymi fałszerzami, a około 1800 roku powstała sieć rytowników, papierników, drukarzy, hurtowników, sprzedawców i paserów, mająca bezpieczne schronienie na pustkowiach na granicy między Vermontem a Kanadą. Ani rząd Stanów Zjednoczonych, ani Kanady nie chciały wziąć na siebie odpowiedzialności za ten problem [1313].
Niedawno pojawiły się kontrowersje dotyczące tzw. superdolarów. Pod koniec pierwszej dekady XXI wieku zaczęły pojawiać się sfałszowane amerykańskie banknoty, rocznie o wartości kilku milionów dolarów. Były one doskonałe pod niemal każdym względem: zostały wydrukowane przy użyciu odpowiednich maszyn, na właściwym papierze i dokładnie odpowiadały wprowadzanym drobnym zmianom - z wyjątkiem tego, że nie miały odpowiednich zabezpieczeń magnetycznych i na podczerwień. Rząd Stanów Zjednoczonych oskarżył Koreę Północną o fałszerstwo i wykorzystał to do nałożenia na nią sankcji. Inni sugerowali, że banknoty zostały najprawdopodobniej wyprodukowane przez CIA w celu śledzenia przepływów pieniężnych. Te banknoty pojawiały się tylko w niewielkich ilościach i docierały jedynie do rąk osób, którymi interesowała się CIA, takich jak północnokoreańscy dyplomaci i środkowoazjatyccy watażkowie. Zostały starannie zaprojektowane tak, aby przeszły wszystkie kontrole oprócz tych w maszynach liczących używanych przez centra pieniężne banków, co uniemożliwiało ich wprowadzenie do obiegu na dużą skalę. A ilości, które się pojawiły, były co najmniej o jeden rząd wielkości mniejsze, niż by je wyprodukował czy musiał wyprodukować fałszerz, aby zapłacić za sprzęt [622].