Вольные и невольные трудности перевода
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
В последнее время участились случаи вольной трактовки новостей, а подчас и серьёзных текстов (стандартов, международных соглашений и т.п.).
Для примера разберём одну из свежих новостей. Смотрим принадлежащий весьма уважаемой мной компании Positive Technology портал Securitylab.ru, читаем http://www.securitylab.ru/news/473754.php: "Согласно сообщению представителей Bluetooth Special Interest Group (SIG), организация заключила договор о сотрудничестве со специалистами промышленного консорциума Fast IDentity Online (FIDO) Alliance в целях создания платформы, позволяющей использовать смартфон в качестве альтернативы физическим USB-ключам безопасности. Последние широко распространены среди пользователей тех сервисов, в которых применяется двухфакторная аутентификация.
По словам специалистов, основной недостаток физических ключей состоит в том, что их слишком легко потерять. При этом достоинство современных смартфонов заключается в одновременном наличии поддержки различных стандартов безопасности (к примеру, PIN-кодов или биометрической аутентификации) и достаточно большого количества персональной информации, подтверждающей личность владельца.
Таким образом, целью экспертов из FIDO и SIG является создание платформы, использующей мобильные устройства по аналогии с USB-ключами безопасности для прохождения аутентификации, к примеру, в Gmail или Facebook". (конец цитаты).
Грамотный человек, прочитавший эту новость, тут же кликает на гиперссылку (оригинал текста новости), приведённую в тексте, и видит СОВЕРШЕННО ДРУГОЙ ТЕКСТ, отдалённо напоминающий суть выложенной на портале новости.
Если очень коротко, то действительно FIDO и SIG подписали протокол о намерениях по разработке "умного" Bluetooth для расширения (переноса) отработанных на десктопах (через USB-разъём) технологий идентификации и двухфакторной аутентификации пользователей на технологию защищённой передачи аутентификационной информации "по воздуху" с помощью мобильных устройств, которых в мире на руках уже восемь миллиардов и в ближайшие 3 года ожидается ещё 10 миллиардов. По словам Бретта Макдоуэла (Brett McDowell), альянс FIDO фокусируется на разработке спецификаций безопасной передачи секретной (аутентификационной) информации пользователя для ухода от использования паролей, неэффективных и уязвимых для множества атак.
В отличие от сути оригинального текста читаем русский "перевод", который состоит из фантазий на заданную тему, составленных непрофессионалом: "По словам специалистов, основной недостаток физических ключей состоит в том, что их слишком легко потерять". По словам каких специалистов? – не указано. Если речь идёт о новости на портале www.bluetooth.com, то об этом нет ни слова. Мало того, утверждение весьма спорное, и вряд ли уважаемые господа Эррет Кройтер (Errett Kroeter) и уже упомянутый ранее Бретт Макдоуэл позволили бы себе такое утверждение. Мобильные телефоны, кстати, по статистике теряют и крадут гораздо чаще, чем смарт-карты и USB-ключи.
Читаем дальше: "При этом достоинство современных смартфонов заключается в одновременном наличии поддержки различных стандартов безопасности (к примеру, PIN-кодов или биометрической аутентификации) и достаточно большого количества персональной информации, подтверждающей личность владельца". Разберём эту фразу. Сначала заметим, что стандарты безопасности здесь упомянуты весьма некстати. PIN (Personal Identification Number) — код в мобильном телефоне является аутентификационной информацией для проведения локальной аутентификации владельца SIM-карты, к которой привязан контракт на обслуживание оператором сотовой связи. Биометрия, которой оснащена часть современных смартфонов, является чисто идентификационной технологией. Биометрия используется для идентификации владельца, как правило, с помощью отпечатка пальца, который владелец может ввести заранее в память телефона. Причём тут "достаточно большое количество персональной информации, подтверждающей личность владельца", совсем непонятно. Эта информация никак не связана ни с безопасностью, ни с аутентификацией.
Наконец, последняя фраза: "Таким образом, целью экспертов из FIDO и SIG является создание платформы, использующей мобильные устройства по аналогии с USB-ключами безопасности для прохождения аутентификации, к примеру, в Gmail или Facebook". Для начала заметим, что в оригинальном тексте имеется только упоминание Facebook, причём в контексте "более полную информацию о Bluetooth можете получить в Facebook, Twitter, or LinkedIn". О Gmail, как видите, нет ни слова. Видимо, это привиделось переводчику. Теперь о сути. Доступ к указанным социальным сетям и почте, как правило, осуществляется по паролю. Причём здесь двухфакторная аутентификация?
Поясним, что такое идентификация и чем аутентификация отличается от идентификации. Это два связанных между собой процесса, в которых всегда первична идентификация. Идентификация в качестве начального этапа подразумевает регистрацию, т.е. присвоение субъектам и объектам доступа уникального признака (идентификатора). Собственно идентификацией называется сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов. Аутентификация включает в себя проверку подлинности предъявленного субъектом (объектом) доступа идентификатора с помощью некоторого секрета (аутентификатора) и проверку принадлежности субъекту (объекту) доступа предъявленных им идентификатора и аутентификатора.
Если новость пишется про идентификацию и аутентификацию, автору новости (или уж наверняка редактору портала, на котором планируется публикация новости) неплохо было бы представлять себе, что это такое. А также иметь представление о технологии Bluetooth, которая в широком употреблении абсолютно не защищена. Суть новости состоит в том, что взаимодействие FIDO и SIG может дать широким слоям мобильных пользователей инструменты защиты передачи закрытого ключа пользователя, что, несомненно, послужит на благо ИБ. Как это сделать – предмет отдельной публикации.
Хотелось бы пожелать редактору уважаемого портала securitylab воспринять эту критическую заметку как доброе пожелание успешного продолжения грамотных и интересных публикаций, которые привлекают и будут привлекать к нему широкие слои специалистов ИБ.