Брюс Шнайер — сын Мартина Шнайера, верховного судьи Бруклина. Он вырос в Нью-Йорке. В 1984 получил степень бакалавра по физике в Рочестерском университете[5], а затем перешёл в Американский университет, где в 1988 получил степень магистра в области компьютерных наук[6]. В ноябре 2011 года он был награждён степенью почётного доктора наук Университетом Вестминстера в Лондоне, Англия. Награда была выдана департаментом электроники и компьютерных наук в знак признания «тяжёлой работы и вклада в развитие информатики и общественной жизни» Шнайера[7].
Шнайер был основателем и главным технологом BT Managed Security Solutions, ранее Counterpane Internet Security, Inc.
Книги и публикации по безопасности и компьютерной безопасности
В 1994 году Шнайер опубликовал книгу «Прикладная Криптография», в которой он в деталях приводил принцип работы, реализации и примеры использования криптографических алгоритмов. Позже он опубликовал книгу «Cryptography Engineering», в которой он уделил больше внимания использованию криптографии в реальных системах чем принципу работы криптографических алгоритмов. Также он написал книгу на тему безопасности для более широкой аудитории. В 2000 году Шнайер опубликовал книгу «Секреты и ложь. Безопасность данных в цифровом мире». В 2003 году в свет вышла книга Шнайера «Beyond Fear: Thinking Sensibly About Security in an Uncertain World», в которой он подробно описал процесс оценки полезности мер противодействия угрозам безопасности.
Шнайер ведёт ежемесячную информационную рассылку «Crypto-Gram»[8] на тему компьютерной безопасности, также он ведёт блог «Schneier on Security»[7]. Блог был создан Шнайером для того, чтобы публиковать эссе прежде, чем они появятся в «Crypto-Gram», что позволит читателям комментировать их пока они актуальны. Со временем «Crypto-Gram» стала ежемесячно рассылаемой на электронную почту версией блога. Издания, публикующие статьи на темы безопасности и компьютерной безопасности, часто цитируют тексты Шнайера, где он указывает на слабые места в системах безопасности и реализациях криптографических алгоритмов. Также Шнайер является автором «Security Matters», колонки для журнала Wired[9].
В 2005 году в своём блоге Шнайер объявил, что в декабрьском выпуске «SIGCSE Bulletin», три пакистанских учёных из Международного Исламского Университета в Исламабаде, Пакистан, плагиировали и добились публикации статьи, написанной с участием Шнайера[10]. Впоследствии, те же академики плагиировали статью «Real-time Transport Protocol (RTP) security», написанную Вилле Халливуори[10]. Шнайер обратился по вопросу плагиата своей статьи к редакторам SIGCSE, после чего было проведено расследование[11]. Редактор «SIGCSE Bulletin» удалил статью пакистанских учёных с сайта «SIGCSE» и потребовал от этих учёных официальное письмо c извинениями. Также Шнайер подчеркнул, что Международный Исламский Университет попросил его «запретить возможность комментирования записи блога, посвящённой вопросу плагиата этой статьи», но он отказался это сделать, хотя и удалил комментарии, которые посчитал «неподходящими или враждебными»[10].
Точки зрения
Криптография
Шнайер считал, что экспертная оценка и экспертный анализ очень важны для защиты криптографических систем[12]. Математическая криптография обычно не самое слабое звено в цепи безопасности. Поэтому эффективная защита требует, чтобы криптография объединялась с другими вещами[13].
Любой человек может придумать такую умную систему безопасности, что он или она не может представить себе способ взломать эту систему.
Национальная безопасность
Шнайер сказал, что деньги Министерства внутренней безопасности должны быть потрачены на нужды разведывательного управления и служб реагирования на чрезвычайные ситуации. Защищаться от масштабной угрозы терроризма, как правило, лучше, чем сосредотачиваться на конкретных потенциальных террористических заговорах[15]. Шнайер считал, что несмотря на сложность анализа разведывательных данных, этот способ является лучшим для борьбы с глобальным терроризмом. Человеческий интеллект имеет преимущества по сравнению с автоматизированным и компьютеризированным анализом, при этом увеличение количества собранных разведывательных данных не поможет улучшить процесс анализа[16]. Различным агентствам, созданным во время Холодной Войны, не свойственен обмен информацией. Однако, практика обмена информацией очень важна при борьбе с децентрализованными и плохо финансируемыми противниками, такими как Аль-Каида[17].
Что касается ТЭН — взрывчатки, которая стала оружием террористов — Шнайер писал, что только собаки могут обнаружить её. Он также считал, что изменения в безопасности аэропортов после 11 сентября 2001 принесли больше вреда, чем пользы. Он победил Кипа Хоули, бывшего главу Администрации Транспортной Безопасности, в онлайн-дискуссии, посвящённой этой теме, в журнале Economist, при этом его поддержало 87 % голосующих[18].
Проектирование систем
Шнайер критиковал подходы к обеспечению безопасности, которые пытаются предотвратить любые вредоносные вторжения. Он считал, что главное — это проектировать систему так, чтобы она адекватно реагировала на отказ[19]. Разработчик не должен недооценивать возможности злоумышленника: в будущем технология может сделать возможными вещи, невозможные в данный момент[12]. Согласно принципу Керкгоффса, чем больше частей криптографической системы хранится в секрете, тем более хрупкой становится система.
Секретность и безопасность — это не одно и то же, даже если так кажется. Только плохие системы безопасности основаны на секретности; хорошие системы надёжно работают даже, если все их детали общедоступны[20].
Шнайер считал, что вопросы безопасности должны быть доступны для общественного обсуждения.
Если исследования не находятся в открытом доступе, то их никто не исправит. Компании не рассматривают это как угрозу безопасности, для них это проблемы пиара[21].
Solitaire — алгоритм шифрования, разработанный Брюсом Шнайером с целью «позволить оперативным сотрудникам спецслужб передавать секретные сообщения без каких-либо электронно-вычислительных устройств и изобличающих инструментов»[24], по просьбе писателя-фантаста Нила Стивенсона для использования в его романе «Криптономикон». В алгоритме криптосистема создаётся из обычной 54-карточной колоды игральных карт. Мотивацией к созданию шифра был тот факт, что колода игральных карт более доступна и менее изобличительна, чем персональный компьютер с криптографическим программным обеспечением. Шнайер предупреждает, что практически любой человек, интересующийся криптографией, знает об этом шифре, но шифр спроектирован устойчивым к криптоанализу даже в том случае, если анализирующей стороне известно его устройство[25].
Phelix — высокоскоростной поточный шифр, использующий одноразовый код аутентичности сообщения. Шифр был представлен на конкурсе eSTREAM в 2004 году. Авторами являются Брюс Шнайер, Дуг Уитинг, Стефан Люкс и Фредерик Мюллер. Алгоритм содержит операции сложения по модулю 232, сложения по модулю 2 и циклический сдвиг; Phelix использует 256-битный ключ и 128-битную метку времени. Некоторыми криптографами были выражены опасения насчёт возможности получения секретного ключа при некорректном использовании шифра.
Fortuna — криптографически стойкий генератор псевдослучайных чисел, разработанный Брюсом Шнайером и Нилсом Фергюсом. Шифр назван в честь богини Фортуны. Является улучшенной версией Алгоритма Ярроу.
Twofish — симметричный алгоритм блочного шифрования, разработанный Брюсом Шнайером, Джоном Келси, Дугом Уитингом, Девидом Вагнером, Крисом Холлом и Нилсом Фергюсом. Является одним из пяти финалистов конкурса AES. Алгоритм использует входные блоки длины 128-бит и ключи длиной до 256 бит. Отличительными особенностями алгоритма являются использование предварительно вычисляемых S-блоков, зависящих от ключа, и сложная схема развёртки подключей шифрования. Twofish заимствует некоторые элементы из других алгоритмов; к примеру, псевдопреобразование Адамара из семейства блочных криптоалгоритмов SAFER. Twofish использует сеть Фейстеля аналогично DES.
Blowfish — алгоритм, реализующий блочное симметричное шифрование, разработанный Брюсом Шнайером в 1993 году. Blowfish обеспечивает высокую скорость шифрования; эффективного метода криптоанализа Blowfish пока не было найдено, тем не менее, на сегодняшний день AES является более распространённым алгоритмом. Шнайер разработал Blowfish как альтернативу стареющему DES и свободный от проблем и ограничений, связанный с другими алгоритмами, так как на момент появления Blowfish многие алгоритмы были проприетарными, загромождены патентами или использовались государственными службами.
Threefish — симметричный блочный алгоритм, разработанный Брюсом Шнайером в 2008-м году как часть алгоритма Skein. Threefish не использует S-блоков и других таблиц поиска. Будучи частью Skein, алгоритм использует операции сложения, сложения по модулю 2 и циклического сдвига.
MacGuffin — алгоритм блочного шифрования, разработанный Брюсом Шнайером и Бартом Пренелем в 1994 году. Шифр задумывался как толчок к созданию новой структуры шифров, известной как Обобщённая Несбалансированная Сеть Фейстеля. Тем не менее, шифр был довольно быстро взломан Винсентом Рейменом и Бартом Пренелем.
Библиография
Шнайер, Брюс. Прикладная криптография (Applied Cryptography), 2-е издание. ISBN 0-471-11709-9
Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
Шнайер, Брюс. Секреты и ложь. Безопасность данных в цифровом мире (Secrets and Lies: Digital Security in a Networked World ). ISBN 0-471-25311-1
Шнайер, Брюс. Без страха. Взвешенные рассуждения о безопасности в переменчивом мире (Beyond Fear: Thinking Sensibly about Security in an Uncertain World). ISBN 0-387-02620-7
Шнайер, Брюс. Protect Your Macintosh, Peachpit Press, 1994. ISBN 1-56609-101-2
Шнайер, Брюс. E-Mail Security, John Wiley & Sons, 1995. ISBN 0-471-05318-X
Шнайер, Брюс; Банисар, Дэвид. The Electronic Privacy Papers, John Wiley & Sons, 1997. ISBN 0-471-12297-1