Шнайер, Брюс

Брюс Шнайер — сын Мартина Шнайера, верховного судьи Бруклина. Он вырос в Нью-Йорке. В 1984 году получил степень бакалавра по физике в Рочестерском университете, а в 1988 году — степень магистра в области компьютерных наук в Американском университете. Степень магистра является его высшей полученной академической степенью; Шнайер не имеет степени доктора философии (Ph.D.)^[12].

В ноябре 2011 года Университет Вестминстера в Лондоне присвоил ему степень почётного доктора наук в знак признания его вклада в индустрию и общественную жизнь.

Шнайер был основателем и техническим директором компании Counterpane Internet Security, Inc., которую в 2006 году приобрела BT Group. В BT он проработал около семи лет, занимая должность «футуролога по безопасности» (security futurologist), и покинул компанию в конце декабря 2013 года^[13].

Шнайер является автором более 14 книг по безопасности и криптографии, некоторые из которых стали бестселлерами по версии The New York Times.

В 1994 году Шнайер опубликовал книгу «Прикладная Криптография», в которой он в деталях приводил принцип работы, реализации и примеры использования криптографических алгоритмов. Позже он опубликовал книгу «Cryptography Engineering», в которой он уделил больше внимания использованию криптографии в реальных системах чем принципу работы криптографических алгоритмов. Также он написал книгу на тему безопасности для более широкой аудитории. В 2000 году Шнайер опубликовал книгу «Секреты и ложь. Безопасность данных в цифровом мире». В 2003 году в свет вышла книга Шнайера «Beyond Fear: Thinking Sensibly About Security in an Uncertain World», в которой он подробно описал процесс оценки полезности мер противодействия угрозам безопасности.

Среди его более поздних работ — Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World (2015), где исследуются методы массового сбора данных^[14], Click Here to Kill Everybody: Security and Survival in a Hyper-connected World (2018), анализирующая уязвимости «Интернета вещей»^[15], сборник эссе We Have Root: Even More Advice from Schneier on Security (2019)^[16] и A Hacker’s Mind: How the Powerful Bend Society’s Rules, and How to Bend them Back (2023)^[17].

Шнайер ведёт ежемесячную информационную рассылку «Crypto-Gram»^[18] на тему компьютерной безопасности, также он ведёт блог «Schneier on Security»^[19]. Блог был создан Шнайером для того, чтобы публиковать эссе прежде, чем они появятся в «Crypto-Gram», что позволит читателям комментировать их пока они актуальны. Со временем «Crypto-Gram» стала ежемесячно рассылаемой на электронную почту версией блога. В 2017 году блог был включён в список «Блогов по кибербезопасности, которые необходимо читать» по версии компании Focus Training^[20]. Издания, публикующие статьи на темы безопасности и компьютерной безопасности, часто цитируют тексты Шнайера, где он указывает на слабые места в системах безопасности и реализациях криптографических алгоритмов. Также Шнайер являлся автором колонки «Security Matters» для журнала Wired.

В 2005 году в своём блоге Шнайер объявил, что в декабрьском выпуске «SIGCSE Bulletin», три пакистанских учёных из Международного Исламского Университета в Исламабаде, Пакистан, плагиировали и добились публикации статьи, написанной с участием Шнайера^[21]. Впоследствии, те же академики плагиировали статью «Real-time Transport Protocol (RTP) security», написанную Вилле Халливуори^[21]. Шнайер обратился по вопросу плагиата своей статьи к редакторам SIGCSE, после чего было проведено расследование^[22]. Редактор «SIGCSE Bulletin» удалил статью пакистанских учёных с сайта «SIGCSE» и потребовал от этих учёных официальное письмо c извинениями. Также Шнайер подчеркнул, что Международный Исламский Университет попросил его «запретить возможность комментирования записи блога, посвящённой вопросу плагиата этой статьи», но он отказался это сделать, хотя и удалил комментарии, которые посчитал «неподходящими или враждебными»^[21].

Шнайер считал, что экспертная оценка и экспертный анализ очень важны для защиты криптографических систем^[23]. Математическая криптография обычно не самое слабое звено в цепи безопасности. Поэтому эффективная защита требует, чтобы криптография объединялась с другими вещами^[24]. Шнайеру также принадлежит известное высказывание: «Безопасность — это процесс, а не продукт».

После завершения конкурса SHA-3 в 2012 году, в котором его алгоритм Skein стал одним из финалистов, фокус деятельности Шнайера сместился с разработки новых криптографических примитивов на анализ их применения, изучение уязвимостей в сложных системах и вопросы публичной политики в сфере кибербезопасности^[25][26].

Термин Закон Шнайера был введён Кори Доктороу в своей речи про Технические средства защиты авторских прав для Microsoft Research^[27]. Закон сформулирован следующим образом:

Любой человек может придумать такую умную систему безопасности, что он или она не может представить себе способ взломать эту систему.

Шнайер сказал, что деньги Министерства внутренней безопасности должны быть потрачены на нужды разведывательного управления и служб реагирования на чрезвычайные ситуации. Защищаться от масштабной угрозы терроризма, как правило, лучше, чем сосредотачиваться на конкретных потенциальных террористических заговорах^[28]. Шнайер считал, что несмотря на сложность анализа разведывательных данных, этот способ является лучшим для борьбы с глобальным терроризмом. Человеческий интеллект имеет преимущества по сравнению с автоматизированным и компьютеризированным анализом, при этом увеличение количества собранных разведывательных данных не поможет улучшить процесс анализа^[29]. Различным агентствам, созданным во время Холодной Войны, не свойственен обмен информацией. Однако, практика обмена информацией очень важна при борьбе с децентрализованными и плохо финансируемыми противниками, такими как Аль-Каида^[30].

Что касается ТЭН — взрывчатки, которая стала оружием террористов — Шнайер писал, что только собаки могут обнаружить её. Он также считал, что изменения в безопасности аэропортов после 11 сентября 2001 принесли больше вреда, чем пользы. Он победил Кипа Хоули, бывшего главу Администрации Транспортной Безопасности, в онлайн-дискуссии, посвящённой этой теме, в журнале Economist, при этом его поддержало 87 % голосующих^[31].

Шнайер критиковал подходы к обеспечению безопасности, которые пытаются предотвратить любые вредоносные вторжения. Он считал, что главное — это проектировать систему так, чтобы она адекватно реагировала на отказ^[32]. Разработчик не должен недооценивать возможности злоумышленника: в будущем технология может сделать возможными вещи, невозможные в данный момент^[23]. Согласно принципу Керкгоффса, чем больше частей криптографической системы хранится в секрете, тем более хрупкой становится система.

Секретность и безопасность — это не одно и то же, даже если так кажется. Только плохие системы безопасности основаны на секретности; хорошие системы надёжно работают даже, если все их детали общедоступны^[33].

Шнайер считал, что вопросы безопасности должны быть доступны для общественного обсуждения.

Если исследования не находятся в открытом доступе, то их никто не исправит. Компании не рассматривают это как угрозу безопасности, для них это проблемы пиара^[34].

Skein — алгоритм хеширования, один из пяти финалистов конкурса для создания алгоритма SHA-3.

Авторами Skein являются Нильс Фергюсон, Стефан Люкс, Брюс Шнайер, Дуг Уитинг, Михир Белларе, Тадаёши Коно, Джон Каллас и Джесси Волкер. Skein основан на блочном шифре Threefish. Алгоритм поддерживает размеры внутреннего состояния 256, 512, 1024 бит^[35], и размер входного сообщения до 2⁶⁴−1 бит. Авторы заявляют о 6,1 тактах на байт для входных сообщений любого размера на процессоре Intel Core 2 Duo в 64-битном режиме^[36]. Нелинейность алгоритма возникает из-за комбинирования операций сложения и сложения по модулю 2; S-блоки в алгоритме не используются. Алгоритм оптимизирован под 64-битные процессоры; в документации к Skein указано, что алгоритм может использоваться для поточного шифрования и разделения секрета.

Хотя Skein вошёл в число пяти финалистов, в 2012 году победителем конкурса был объявлен алгоритм Keccak^[37]. Незадолго до объявления итогов Шнайер высказал мнение, что NIST не следовало выбирать победителя, поскольку существующий на тот момент стандарт SHA-2 оставался достаточно надёжным, а ни один из финалистов, включая Skein, не предлагал кардинальных преимуществ.

Solitaire — алгоритм шифрования, разработанный Брюсом Шнайером с целью «позволить оперативным сотрудникам спецслужб передавать секретные сообщения без каких-либо электронно-вычислительных устройств и изобличающих инструментов»^[38], по просьбе писателя-фантаста Нила Стивенсона для использования в его романе «Криптономикон». В алгоритме криптосистема создаётся из обычной 54-карточной колоды игральных карт. Мотивацией к созданию шифра был тот факт, что колода игральных карт более доступна и менее изобличительна, чем персональный компьютер с криптографическим программным обеспечением. Шнайер предупреждает, что практически любой человек, интересующийся криптографией, знает об этом шифре, но шифр спроектирован устойчивым к криптоанализу даже в том случае, если анализирующей стороне известно его устройство^[39].

Phelix — высокоскоростной поточный шифр, использующий одноразовый код аутентичности сообщения. Шифр был представлен на конкурсе eSTREAM в 2004 году. Авторами являются Брюс Шнайер, Дуг Уитинг, Стефан Люкс и Фредерик Мюллер. Алгоритм содержит операции сложения по модулю 2³², сложения по модулю 2 и циклический сдвиг; Phelix использует 256-битный ключ и 128-битную метку времени. Некоторыми криптографами были выражены опасения насчёт возможности получения секретного ключа при некорректном использовании шифра.

Алгоритм Ярроу — криптографически стойкий генератор псевдослучайных чисел, разработанный Брюсом Шнайером, Джоном Келси и Нилсом Фергюсом. Алгоритм не запатентован и свободен от лицензионных отчислений, так что для его использования не требуется получение лицензии.

Fortuna — криптографически стойкий генератор псевдослучайных чисел, разработанный Брюсом Шнайером и Нилсом Фергюсом. Шифр назван в честь богини Фортуны. Является улучшенной версией Алгоритма Ярроу.

Twofish — симметричный алгоритм блочного шифрования, разработанный Брюсом Шнайером, Джоном Келси, Дугом Уитингом, Девидом Вагнером, Крисом Холлом и Нилсом Фергюсом. Является одним из пяти финалистов конкурса AES. Алгоритм использует входные блоки длины 128-бит и ключи длиной до 256 бит. Отличительными особенностями алгоритма являются использование предварительно вычисляемых S-блоков, зависящих от ключа, и сложная схема развёртки подключей шифрования. Twofish заимствует некоторые элементы из других алгоритмов; к примеру, псевдопреобразование Адамара из семейства блочных криптоалгоритмов SAFER. Twofish использует сеть Фейстеля аналогично DES.

Blowfish — алгоритм, реализующий блочное симметричное шифрование, разработанный Брюсом Шнайером в 1993 году. Blowfish обеспечивает высокую скорость шифрования; эффективного метода криптоанализа Blowfish пока не было найдено, тем не менее, на сегодняшний день AES является более распространённым алгоритмом. Шнайер разработал Blowfish как альтернативу стареющему DES и свободный от проблем и ограничений, связанный с другими алгоритмами, так как на момент появления Blowfish многие алгоритмы были проприетарными, загромождены патентами или использовались государственными службами.

Threefish — симметричный блочный алгоритм, разработанный Брюсом Шнайером в 2008-м году как часть алгоритма Skein. Threefish не использует S-блоков и других таблиц поиска. Будучи частью Skein, алгоритм использует операции сложения, сложения по модулю 2 и циклического сдвига.

MacGuffin — алгоритм блочного шифрования, разработанный Брюсом Шнайером и Бартом Пренелем в 1994 году. Шифр задумывался как толчок к созданию новой структуры шифров, известной как Обобщённая Несбалансированная Сеть Фейстеля. Тем не менее, шифр был довольно быстро взломан Винсентом Рейменом и Бартом Пренелем.

После разоблачений Эдварда Сноудена в 2013 году Шнайер сосредоточился на темах массовой слежки и союза государств с корпорациями в сборе данных. Центральной работой этого периода стала его книга 2015 года Данные и Голиаф: скрытые битвы за сбор ваших данных и контроль над вашей жизнью (англ. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World), ставшая бестселлером по версии The New York Times^[40].

В книге и сопутствующих публикациях Шнайер утверждает, что правительства и корпорации сформировали мощный альянс для сбора данных — «публично-частное партнёрство в слежке». По его мнению, корпорации собирают огромные массивы пользовательских данных в коммерческих целях, а правительства получают к ним доступ, создавая всеобъемлющую систему наблюдения^[41]. Он последовательно доказывает, что массовая слежка неэффективна для борьбы с терроризмом, так как создаёт большое количество «ложных срабатываний» и отвлекает ресурсы от целенаправленной работы спецслужб^[42].

Шнайер настаивает, что приватность — это не роскошь, а фундаментальное право, необходимое для свободы, автономии и человеческого достоинства^[42], а постоянное наблюдение подавляет свободу слова и инакомыслие, поскольку люди начинают заниматься самоцензурой^[43]. В качестве решения он предлагал усиление правового надзора за спецслужбами, введение законов, регулирующих сбор и использование данных корпорациями, и широкое применение технологий защиты, таких как сквозное шифрование^[43]. Позднее Шнайер отмечал, что, несмотря на общественный резонанс, ситуация с массовой слежкой со стороны правительств принципиально не изменилась^[44].

Позднее фокус внимания Шнайера сместился на уязвимости, создаваемые «интернетом вещей» (IoT). Этой теме посвящена его книга 2018 года Click Here to Kill Everybody: Security and Survival in a Hyper-connected World, которая в России готовится к изданию под названием «Кибергейт. Как выжить в мире умных вещей».

Основная идея книги заключается в том, что по мере подключения к интернету физических объектов (автомобилей, медицинских имплантатов, систем управления инфраструктурой) кибератаки становятся способны наносить прямой физический вред, вплоть до убийства людей^[45]. Шнайер называет эту новую экосистему «Веб размером с мир» (World-Sized Web)^[45].

По мнению Шнайера, рыночные механизмы не способствуют созданию безопасных IoT-устройств. Производители стремятся как можно быстрее и дешевле вывести продукты на рынок, экономя на безопасности, поскольку потребители не требуют её, а последствия уязвимостей несут не производители, а общество в целом^[46][47]. В отличие от многих либертарианских голосов в технологической сфере, Шнайер приходит к выводу, что единственным способом исправить ситуацию является государственное вмешательство^[47]. Он предлагает создать специальные агентства (по аналогии с теми, что регулируют авиационную или автомобильную безопасность) для установления минимальных стандартов безопасности для IoT-устройств и привлечения производителей к ответственности^[45].

За свою карьеру Брюс Шнайер был удостоен множества наград и премий в знак признания его вклада в индустрию и общественную жизнь.

• 2007 — Премия Pioneer Award от Фонда электронных рубежей (EFF). Награда была присуждена за его роль как эксперта по безопасности, автора основополагающих книг по криптографии и создателя алгоритма Blowfish.
• 2008 — Премия Норберта Винера за социальную и профессиональную ответственность от организации «Компьютерные профессионалы за социальную ответственность» (CPSR). Шнайер был отмечен за многолетнюю защиту конфиденциальности, безопасности и гражданских свобод, а также за технические достижения.
• 2011 — Почётная степень доктора наук (Sc.D.) от Университета Вестминстера в Лондоне в знак признания его «вклада в развитие информатики и общественной жизни».
• 2015 — Премия за жизненные достижения от Информационного центра электронной приватности (EPIC).
• 2019 — Введён в Зал славы Cybersecurity Canon с наградой за пожизненные достижения. Отборочный комитет отметил, что у Шнайера было так много книг-кандидатов, что было принято решение признать его одним из «пожизненных лауреатов» проекта^[48].

Шнайер также был введён в Зал славы Infosecurity Europe (2008) и получил премию «За выдающиеся достижения в программировании» от Dr. Dobb’s Journal^[49]. Его книга «Секреты и ложь» получила премию «Product Excellence Award» от журнала Software Development^[49]. Журнал The Economist назвал его «гуру безопасности», а Security Magazine в 2008 году включил его в список 25 самых влиятельных людей в индустрии безопасности^[49]. В 2017 году его блог «Schneier on Security» был отмечен компанией Focus Training в списке обязательных к прочтению блогов по кибербезопасности.

• Шнайер, Брюс. Прикладная криптография (Applied Cryptography), 2-е издание. ISBN 0-471-11709-9
• Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
• Шнайер, Брюс. Секреты и ложь. Безопасность данных в цифровом мире (Secrets and Lies: Digital Security in a Networked World ). ISBN 0-471-25311-1
• Нильс Фергюсон, Брюс Шнайер. Практическая криптография = Practical Cryptography: Designing and Implementing Secure Cryptographic Systems. — М. : Диалектика, 2004. — 432 с. — 3000 экз. — ISBN 5-8459-0733-0, ISBN 0-4712-2357-3.
• Шнайер, Брюс. Без страха. Взвешенные рассуждения о безопасности в переменчивом мире (Beyond Fear: Thinking Sensibly about Security in an Uncertain World). ISBN 0-387-02620-7
• Шнайер, Брюс. Protect Your Macintosh, Peachpit Press, 1994. ISBN 1-56609-101-2
• Шнайер, Брюс. E-Mail Security, John Wiley & Sons, 1995. ISBN 0-471-05318-X
• Шнайер, Брюс; Банисар, Дэвид. The Electronic Privacy Papers, John Wiley & Sons, 1997. ISBN 0-471-12297-1
• Шнайер, Брюс. Schneier on Security, John Wiley & Sons, 2008. ISBN 978-0-470-39535-6
• Фергюсон, Нильс; Шнайер, Брюс; Kohno, Tadayoshi. Cryptography Engineering, John Wiley & Sons, 2010. ISBN 978-0-470-47424-2
• Шнайер, Брюс. Liars and Outliers: Enabling the Trust that Society Needs to Thrive, John Wiley & Sons, 2012. ISBN 978-1-118-14330-8
• Шнайер, Брюс. Carry On: Sound Advice from Schneier on Security, John Wiley & Sons, 2013. ISBN 978-1-118-79081-6
• Шнайер, Брюс. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World, W. W. Norton & Company, 2015. ISBN 978-0-393-24481-6
• Шнайер, Брюс. Click Here to Kill Everybody: Security and Survival in a Hyper-connected World, W. W. Norton & Company, 2018. ISBN 978-0-393-60888-5
• Шнайер, Брюс. We Have Root: Even More Advice from Schneier on Security, John Wiley & Sons, 2019. ISBN 978-1-119-64301-2
• Шнайер, Брюс. A Hacker’s Mind: How the Powerful Bend Society’s Rules, and How to Bend them Back, W. W. Norton & Company, 2023. ISBN 978-0-393-86664-3
• Шнайер, Брюс; Сандерс, Нейтан. Rewiring Democracy: How AI Will Transform Our Politics, Government, and Citizenship, The MIT Press, 2025. ISBN 978-0-262-04994-8