Автор серии публикаций - Алексей Лазарев, руководитель Департамента защиты кибер-физических систем Компании «Актив»
В предыдущей части статьи мы рассмотрели текущую ситуацию с криптографическими системами в IoT, применив к ним закон развития систем по S-образной кривой, и сделали вывод, что подобным системам есть, куда развиваться, потому что они находятся на начальном этапе своей эволюции. Точнее, на переходном этапе между зарождением и стремительным развитием. Уже понятна необходимость их применения, так как есть запрос от общества и государства. Уже есть технологические островки для обкатки. И в целом ясно, что смерть данному направлению в ближайшие годы, а, скорее всего, десятилетия не грозит.
Куда заведет нас кривая развития?
Остановившись на втором этапе развития, мы рассмотрели основные признаки выхода системы на этот этап. А это тот момент, когда за счет существенного снижения рисков привлекаются все большие инвестиции, и реализуется большая часть потенциала системы, выраженная в ее основных потребительских параметрах.
Сдерживающих факторов при этом все меньше, но они все еще существуют. Более того, эти факторы могут существенно замедлить развитие системы. Всегда есть риск ранее не ожидаемых внешних событий, предсказать которые бывает очень сложно, если мы не следим за тем, что происходит в надсистеме и соседних системах, от которых может зависеть наша.
Например, какие-то 10 лет назад мало кто мог представить, что мы столкнемся с массовым дефицитом электронных компонентов и сырья для них. Поэтому электронщикам на всех этапах развития своих систем следует обращать внимание на следующие аспекты:
Физическое наличие на рынке компонентов в нужном количестве и перспективы их производства на ближайшие несколько лет. Это особенно важно для второго этапа, когда стремительно растет количество внедренных систем, и можно делать прогнозы этого роста. При неудачном стечении обстоятельств чипов может просто не хватить, и разработчики будут вынуждены в авральном порядке искать и интегрировать замену, откладывая работу над повышением эффективности системы;
Эволюция микрочипов идет постоянно и стремительно, и примерно раз в 4–6 лет их парк обновляется. С одной стороны, это хорошо, т. к. с новыми компонентами растут главные параметры системы. С другой, систему опять-таки нужно будет переделывать.
В обоих случаях нужно будет проходить один и тот же цикл: разработка -> отладка -> производство -> сертификация многократно. Вопрос лишь в том, будет это для нас неожиданностью или нет.
Надсистема так же эволюционирует, устанавливая все более жесткие требования к своим подсистемам. В нашем случае это касается прежде всего скорости и объема обрабатываемой информации, а также способов ее хранения и распространения. По мере вынужденного роста параметров системы может сработать закон перехода количества в качество, давая системе новые свойства.
Пример: недорогие крипто-модули со временем смогут обрабатывать высококачественные изображения и видеопотоки, что придаст юридическую значимость такой информации и откроет новые применения в целом ряде областей.
Таким образом, адаптация системы к новым применениям возможна, а в нашем случае практически неизбежна. Со временем это может породить новые формы.
Пример: существует множество систем, где не нужна конфиденциальность данных, но нужно обеспечивать некорректируемость этих данных. Поэтому развитие в сторону ускорения операций электронной подписи и хеширования здесь является приоритетным.
В ходе развития происходят важные процессы, такие как свертывание и развертывание. На втором этапе их частота примерно равна. В первом случае мы избавляемся от лишних компонентов, например, перенося их свойства на соседние, схожие по функциональности. Во втором – добавляем новые компоненты, что обычно происходит при адаптации системы к применению в новых областях.
Грубый пример свертывания: вычислительное ядро крипто-модуля на сегодняшний момент достаточно слабо по сравнению с центральным процессором конечного устройства. Для повышения эффективности целесообразно перенести криптографические вычисления в CPU, отказавшись от дополнительного компонента. Одним из вариантов такого симбиоза может быть CPU с функцией неизвлекаемого хранения ключевой информации, реализованными крипто-примитивами на уровне кремния и возможностью запуска процессов, защищенных от отладки как из внешней среды, так и со стороны центрального ядра.
Пример объединения с другими системами: Большинство устройств IoT сегодня работают по беспроводным протоколам связи. Часть из них для связи использует сотовую сеть, где для идентификации используется SIM-карта, которая может поддерживать встроенную криптографию и служить хранилищем ключевой информации. Весь вопрос в том, чтобы подружить ГОСТ-криптографию с международными стандартами связи, по которым работает любая сотовая сеть. Но это – отдельная большая проблема.
Пример развертывания. Возьмем конкурирующую для нашего направления систему, такую как облачная электронная подпись. Ключевая информация хранится на сервере, далеко за пределами физической досягаемости владельца. Доступ пользователя к использованию своего ключа чаще всего осуществляется через обычную парольную аутентификацию. Не будем лишний раз упоминать, что это небезопасно. Суть не в этом. Отметим лишь, что при таком подходе система обзаводится дополнительными компонентами, отвечающими за передачу данных.
Развитие системы на 2-м этапе идет не только за счет изобретательских методов. Огромную роль здесь играет чисто инженерная оптимизация, целью которой являются доведение основных характеристик до идеального сочетания для всех стейкхолдеров. В большинстве случаев разработчики пользуются именно инженерными методами, и эта работа рано или поздно упирается в ряд ограничений. О них ниже.
Третий этап.
Третий этап характерен существенным замедлением развития системы. Потенциал для развития либо исчерпан, либо улучшение отдельных параметров не имеет смысла в глазах конечного потребителя.
Примером системы, находящейся на 3-м этапе, является решение для криптографической электронной подписи документов на физическом носителе информации (токене). На заре появления подобных решений длительность выполнения криптографических операций на токене могла составлять несколько секунд. Для конечного пользователя это было существенно, поскольку остальные операции, такие, как подключение токена и ввод PIN-кода, отнимали сопоставимое время. По мере развития системы время работы криптографии сократилось до долей секунды и достигло пределов погрешности относительно суммарного времени, затрачиваемого пользователем на подпись. Теоретически, можно было бы и дальше оптимизировать скорость криптографической подписи, увеличив ее еще в десять раз, но это никак бы не повлияло на ценность в глазах пользователя.
Бывает хуже, например, когда мы достигли физического или технологического предела развития по какому-то направлению. И для дальнейшего роста требуемого параметра придется менять сам принцип действия системы. Но делать это следует в том случае, если:
в этом существует реальная потребность со стороны клиента в рамках решаемой задачи;
мы не упираемся в коммерческие пределы, когда улучшение отдельного параметра обходится слишком дорого и существенно влияет на конечную стоимость.
Пример технологического ограничения: Невысокая пропускная способность устройств, работающих по устаревшим протоколам связи, которые широко используются в АСУ ТП и межмашинном взаимодействии. Нам известно множество случаев, когда устройства неспособны передавать тот объем данных, который от них требует надсистема. Но модернизация на уровне надсистемы – вопрос крайне ресурсозатратный.
Причины, по которым тормозится развитие системы, могут быть разными. Перечислим лишь некоторые, актуальные для нашей отрасли:
исчерпание рыночного потенциала системы, например, из-за отсутствия возможностей для дальнейшей экспансии, когда систему больше некому предложить. Как результат, специализация разработчиков решений смещается в сторону поддержки и обслуживания.
Например, в недалеком будущем вполне вероятна ситуация, когда все госструктуры, организации, взаимодействующие с ними или попадающие под действия регуляторов, обладают сертифицированными СКЗИ во всех своих решениях.
давление со стороны конкурирующих систем.
Облачная подпись документов, которая постепенно напирает на подпись с физическим носителем.
отсутствие достаточного количества ресурсов (вспомним про дефицит чипов);
юридические причины, такие как регуляторные ограничения в отдельных областях, санкционные ограничения, мешающие проникновению на новые рынки.
В этой ситуации количество инноваций со стороны разработчиков растет, но качество их падает. Ничего принципиально нового в плане стимуляции роста эффективности основных функций не появляется. Попытки принципиального улучшения приводят росту факторов расплаты: снижению надежности, росту стоимости.
Пример: разгон процессоров до экстремальных частот с целью повышения производительности.
На третьем этапе все ограничивается незначительными изменениями, целью которых является не улучшение характеристик, а отстройка от конкурентов и обход чужих патентов. При этом сама система находится на пике своей востребованности и рентабельности. Процессы в ней отточены до совершенства. Потребляются ресурсы, специализированные конкретно под нее, а процессы, происходящие в надсистеме, уже хорошо адаптированы к особенностям работы с системой.
С учетом выше сказанного можно пофантазировать, как могла бы выглядеть наша «сферическая криптоситема в вакууме» на 3-м этапе. В качестве основных функций возьмем аутентификацию устройств, подпись данных и защиту каналов связи.
Со стороны системы | Со стороны надсистемы |
Крипто-ядро обладает достаточной производительностью для обработки любых потоков данных | Множество применений в различных областях, но задачи схожи по своей сути. |
Серийное производство хорошо налажено. Инженерная и экономическая оптимизация достигла предела. | Низкая стоимость базового комплекта позволяет использовать единое решение для большинства применений. |
Решены проблемы с защищенным обновлением и распространением ключевой информации. Либо актуальность этих проблем нулевая в силу сопутствующих факторов | Защищенный механизм удаленного обновления ключей согласован с регулятором и допустим в ряде применений. Срок службы конечного устройства или сроки поверки не превышают времени жизни ключей, отведенного регулятором. |
Система обросла дополнительными функциями, такими, как встроенный контроллер доверенного времени и верифицируемый датчик местоположения. | Новая информация используется в качестве дополнительных факторов аутентификации устройств и информации. Широкое применение в транспортно-логистической отрасли. |
Система использует новые специализированные защищенные протоколы и алгоритмы. | Протоколы приняты в качестве официальных стандартов. |
Используются только те протоколы, которые пригодны защищенного обмена данными. | В промышленности идет отказ от динозавров типа MODBUS, RS-232, RS-485. Данные протоколы используются в узкоспециализированных областях, либо пригодны для образовательных и развлекательных целей (например, умные игрушки). Для этих протоколов наступил 4-й этап развития. |
Данное видение не является плодом каких-то аналитических сверхусилий и приведено скорее в качестве простого примера. Главное, что стоит понимать при составлении подобных картин:
надсистема развивается по тем же законам, и это обязательно стоит учитывать, если мы хотим попасть в цель, которую наметили в будущем.
по мере развития надсистема и система взаимно влияют друг на друга, но это влияние почти всегда неравнозначно.
Замедление развития даже самой успешной для своего времени системы рано или поздно приводит к снижению удовлетворенности потребностям надсистемы. Просто потому, что надсистема тоже развивается. Теряя способность быть полезной, система деградирует и становится бутылочным горлышком. И тут возможно два сценария развития событий:
Выявляются и разрешаются противоречия, ставшие причиной торможения развития, и система получает второй шанс на развитие;
Система замещается конкурирующей, и переходит 4-й этап: угасанию и смерти.
4-й этап.
На этом этапе происходит деградация основных параметров в силу того, что теряется интерес к системе со стороны инженеров и разработчиков, которые постепенно переходят к работе над более эффективными и перспективными проектами и системами.
Содержание системы в прежнем объеме все дороже, потому что:
сложнее искать компоненты. Они перестают производиться и дорожают.
труднее найти специалистов поддержки, их количество уменьшается, и растет стоимость.
Пример: дикие зарплаты программистов на COBOL, в которых нуждаются системы, разработанные десятки лет назад, и, дo сих пор функционирующие в богатых отраслях.
Постепенно старые ниши занимаются конкурирующими системами, а новые не могут обеспечить окупаемость затрат на поддержку. И, если своевременно не задуматься о преодолении пределов развития, в чем могут помочь изобретательские методики, то вероятность появления шанса на спасение системы ничтожно мала. Sit transit gloria mundi.
Конец 2-й части. Продолжение следует...
Использованная литература:
А. Любомирский, С. Литвин "Законы развития технических систем".
В. Петров, Э. Злотин "Законы развития технических систем". Учебное пособие. Тель-Авив