布魯斯·施奈爾 - 簡(jiǎn)介

布魯斯·施奈爾（Bruce Schneier），密碼破譯者，施奈爾生于紐約市，目前住在明尼蘇達(dá)州的大城明尼亞波里斯。施奈爾于羅徹斯特大學(xué)物理系畢業(yè)，并于美國(guó)大學(xué)取得計(jì)算機(jī)科學(xué)的碩士學(xué)位。他曾先后工作于美國(guó)國(guó)防部與美國(guó)電話電報(bào)公司（AT&T）的貝爾實(shí)驗(yàn)室。

布魯斯·施奈爾是Counterpane Systems公司的總裁，該公司是一個(gè)密碼學(xué)和計(jì)算機(jī)安全方面的專業(yè)咨詢公司。并在主要的密碼學(xué)雜志上發(fā)表了數(shù)十篇論文，他是《Dr Dobb’s Journal》責(zé)任編輯之一，同時(shí)擔(dān)任《Computer and communications Security Reviews》的編輯，是國(guó)際密碼研究協(xié)會(huì)的理事會(huì)員、電子隱私信息中心的顧問(wèn)團(tuán)成員和新安全范例工作組程序委員會(huì)成員。此外他還經(jīng)常舉辦密碼學(xué)、計(jì)算機(jī)安全和隱私保護(hù)方面的學(xué)術(shù)講座。 　

無(wú)論他所關(guān)注的是美國(guó)運(yùn)輸安全管理委員會(huì)（Transportation Security Administration）最新推出的愚蠢的安保程序，還是諸如12位字符長(zhǎng)度的密碼的安全性究竟有多高這一類的問(wèn)題，Bruce Schneier 都對(duì)這些你很可能在線上或線下所遇見(jiàn)的計(jì)算機(jī)安全問(wèn)題給出了最為清晰的（也是最發(fā)人深省的）思考。Schneier新近發(fā)表的一系列關(guān)于與反恐戰(zhàn)爭(zhēng)相關(guān)聯(lián)的安全問(wèn)題的文章 ——無(wú)論是關(guān)于國(guó)際的，還是關(guān)于國(guó)內(nèi)的，還是關(guān)于互聯(lián)網(wǎng)空間中的 —— 都非常值得一讀。 

布魯斯·施奈爾 - 密碼學(xué)著作

施奈爾的《應(yīng)用密碼學(xué)：協(xié)議、算法和C源程序》（Applied Cryptography:Protocols, Algorithms, and Source Code in C）對(duì)密碼學(xué)造成重大影響。施奈爾（與人合作）設(shè)計(jì)了許多密碼學(xué)的算法，其中包含Blowfish、Twofish與MacGuffin的區(qū)塊加密模式（block cipher），Helix與Phelix的串流加密（stream ciphers），以及Yarrow與Fortuna的擬亂數(shù)產(chǎn)生器（cryptographically secure pseudo-random number generator）。而密碼學(xué)算法Solitaire是施奈爾設(shè)計(jì)給一般人腦運(yùn)算使用的密碼學(xué)算法；該算法以Pontifex的名稱出現(xiàn)于尼爾·史蒂芬生（Neal Stephenson）的小說(shuō)《Cryptonomicon》。施奈爾也獨(dú)立或與人一起發(fā)表過(guò)上百篇密碼學(xué)相關(guān)的文獻(xiàn)。 　　

然而，施耐爾（現(xiàn)在）認(rèn)為他自己早期成果的背后隱藏的人用問(wèn)題（people problem），證明當(dāng)時(shí)只是天真的、僅僅只合乎數(shù)理、如同躲在象牙塔一樣毫無(wú)鴻觀的作品。在《應(yīng)用密碼學(xué)》一書(shū)中指出，正確的建置密碼學(xué)算法即可達(dá)到安全性與機(jī)密性，書(shū)中所介紹的各種協(xié)定將能確保資訊安全；然而，他當(dāng)時(shí)卻沒(méi)顧慮到未來(lái)可能遭遇到的問(wèn)題。施耐爾認(rèn)為當(dāng)時(shí)由數(shù)理證明所提出的安全保證，在實(shí)務(wù)的應(yīng)用上達(dá)不到實(shí)際的安全等級(jí)。他在《不能說(shuō)的謊言》（Secrets and Lies）里描述道，即使一家公司使用最通行的RSA密碼學(xué)算法來(lái)保護(hù)這家公司的資料，卻不假所思的將金鑰（用來(lái)加/解密、簽署數(shù)位資訊的機(jī)密資料）交給一位無(wú)法信任的員工，或讓員工將金鑰在一臺(tái)不可靠的電腦上使用；結(jié)果將是資訊安全蕩然無(wú)存。因此，一個(gè)真正的安全資訊應(yīng)該整體布局于軟件、硬件、網(wǎng)絡(luò)、人、財(cái)務(wù)與企業(yè)活動(dòng)。施耐爾（現(xiàn)在）著手教育人們?nèi)ソㄖ靡徽麄�(gè)安全系統(tǒng)，并與尼爾斯·弗格森（Niels Ferguson）一同完成他的新書(shū)《實(shí)用密碼學(xué)》（Practical Cryptography）。

布魯斯·施奈爾 - 資訊科技相關(guān)著作

在2000年，他出版了《不能說(shuō)的謊言：網(wǎng)絡(luò)化里的數(shù)位安全》。

2003年，則出版了《超越恐懼：認(rèn)真思考未知世界的資訊安全》。 　　

施耐爾也曾免費(fèi)于網(wǎng)站上撰寫(xiě)電腦科技與相關(guān)安全上的議題。 　　

此外，他在911攻擊事件后，數(shù)次撰寫(xiě)生物辨識(shí)應(yīng)用于飛行安全的相關(guān)文章。

布魯斯·施奈爾 - 著作一覽表

Schneier, Bruce. Applied Cryptography, John Wiley & Sons, 1994. ISBN 0-471-59756-2
Bruce Schneier著作Schneier, Bruce. Protect Your Macintosh, Peachpit Press, 1994. ISBN 1-56609-101-2
Schneier, Bruce. E-Mail Security, John Wiley & Sons, 1995. ISBN 0-471-05318-X
Schneier, Bruce. Applied Cryptography, Second Edition, John Wiley & Sons, 1996. ISBN 0-471-11709-9
Schneier, Bruce; Kelsey, John; Whiting, Doug; Wagner, David; Hall, Chris; Ferguson, Niels. The Twofish Encryption Algorithm, John Wiley & Sons, 1996. ISBN 0-471-35381-7
Schneier, Bruce; Banisar, David. The Electronic Privacy Papers, John Wiley & Sons, 1997. ISBN 0-471-12297-1
Schneier, Bruce. Secrets and Lies: Digital Security in a Networked World, John Wiley & Sons, 2000. ISBN 0-471-25311-1
Schneier, Bruce. Beyond Fear: Thinking Sensibly about Security in an Uncertain World, Copernicus Books, 2003. ISBN 0-387-02620-7
Ferguson, Niels; Schneier, Bruce. Practical Cryptography, John Wiley & Sons, 2003. ISBN 0-471-22357-3 Schneier, Bruce. Schneier on Security, John Wiley & Sons, 2008. ISBN 978-0-470-39535-6

布魯斯·施奈爾 - 施奈爾的《應(yīng)用密碼學(xué)》

施奈爾的《應(yīng)用密碼學(xué)》（（Applied Cryptography）對(duì)密碼學(xué)造成重大影響。施奈爾（與人合作）設(shè)計(jì)了許多密碼學(xué)的算法，其中包含Blowfish、Twofish與MacGuffin的區(qū)塊加密模式（block cipher），Helix與Phelix的串流加密（stream ciphers），以及Yarrow與Fortuna的擬亂數(shù)產(chǎn)生器（cryptographically secure pseudo-random number generator）。而密碼學(xué)算法Solitaire是施奈爾設(shè)計(jì)給一般人腦運(yùn)算使用的密碼學(xué)算法；該算法以Pontifex的名稱出現(xiàn)于尼爾·史蒂芬生（Neal Stephenson）的小說(shuō)《Cryptonomicon》。施奈爾也獨(dú)立或與人一起發(fā)表過(guò)上百篇密碼學(xué)相關(guān)的文獻(xiàn)。

然而，施耐爾（現(xiàn)在）認(rèn)為他自己早期成果的背后隱藏的人用問(wèn)題（people problem），證明當(dāng)時(shí)只是天真的、僅僅只合乎數(shù)理、如同躲在象牙塔一樣毫無(wú)鴻觀的作品。在《應(yīng)用密碼學(xué)》一書(shū)中指出，正確的建置密碼學(xué)算法即可達(dá)到安全性與機(jī)密性，書(shū)中所介紹的各種協(xié)定將能確保資訊安全；然而，他當(dāng)時(shí)卻沒(méi)顧慮到未來(lái)可能遭遇到的問(wèn)題。施耐爾認(rèn)為當(dāng)時(shí)由數(shù)理證明所提出的安全保證，在實(shí)務(wù)的應(yīng)用上達(dá)不到實(shí)際的安全等級(jí)。他在《不能說(shuō)的謊言》（Secrets and Lies）里描述道，即使一家公司使用最通行的RSA密碼學(xué)算法來(lái)保護(hù)這家公司的資料，卻不假所思的將金鑰（用來(lái)加/解密、簽署數(shù)位資訊的機(jī)密資料）交給一位無(wú)法信任的員工，或讓員工將金鑰在一臺(tái)不可靠的電腦上使用；結(jié)果將是資訊安全蕩然無(wú)存。因此，一個(gè)真正的安全資訊應(yīng)該整體布局于軟件、硬件、網(wǎng)絡(luò)、人、財(cái)務(wù)與企業(yè)活動(dòng)。施耐爾（現(xiàn)在）著手教育人們?nèi)ソㄖ靡徽麄�(gè)安全系統(tǒng)，并與尼爾斯·弗格森（Niels Ferguson）一同完成他的新書(shū)《實(shí)用密碼學(xué)》（Practical Cryptography）。 

布魯斯·施奈爾 - 重要影響

Bruce Schneier，BT 集團(tuán)首席安全技術(shù)官，是國(guó)際知名的安全技術(shù)專家和作家，現(xiàn)任BT 集團(tuán)首席安全技術(shù)官，并且是 BT Counterpane 的創(chuàng)始人和首席技術(shù)官，BT Counterpane 是世界領(lǐng)先的網(wǎng)絡(luò)信息保護(hù)者 — 外包安全監(jiān)控的發(fā)明者以及有效緩解新興 IT 威脅方面的首要權(quán)威。

Bruce負(fù)責(zé)保持BTCounterpane 在世界級(jí)信息安全技術(shù)及其實(shí)用高效實(shí)施方面的技術(shù)領(lǐng)先地位。Bruce 在信息安全方面的經(jīng)驗(yàn)使他在制定公司研究方向方面擁有獨(dú)一無(wú)二的優(yōu)勢(shì)，并成為BT在安全問(wèn)題和解決方案方面的代言人。

BruceSchneier是國(guó)際知名的安全技術(shù)專家和作家�！督�(jīng)濟(jì)學(xué)家》雜志稱他為“安全大師”，作為安全評(píng)論家，他以坦誠(chéng)、直言不諱、思路清晰著名。他的第一部暢銷(xiāo)書(shū)《實(shí)用密碼技術(shù)》介紹了神秘的密碼科學(xué)的實(shí)際工作原理，被《連線》雜志稱為“國(guó)家安全局永遠(yuǎn)都不想出版的書(shū)籍”。其關(guān)于計(jì)算機(jī)與網(wǎng)絡(luò)安全的著作《秘密與謊言》被《財(cái)富》雜志稱為“可以實(shí)際使用的充滿驚喜的珠寶盒”。他最新的著作《超越恐懼》闡述了由小到大的各類安全問(wèn)題：個(gè)人安全、犯罪、公司安全、國(guó)家安全。

Schneier的講話經(jīng)常被媒體引用，他曾多次就安全問(wèn)題在美國(guó)國(guó)會(huì)作證，并為許多重要出版物撰寫(xiě)過(guò)文章和專欄評(píng)論，包括紐約時(shí)報(bào)、TheGuardian、Forbes、Wired、Nature、TheBulletinof the Atomic Scientists、The Sydney Morning Herald、The Boston Globe、The San Francisco Chronicle 和 華盛頓郵報(bào)。

Schneier還出版了一份免費(fèi)通訊月刊—Crypto-Gram，讀者超過(guò) 130,000 人。Crypto-Gram 已定期出版 7 年，現(xiàn)已成為讀者自由討論、尖銳批評(píng)和嚴(yán)肅爭(zhēng)論有關(guān)安全問(wèn)題的最重要論壇之一。作為該論壇的首席評(píng)論員，Schneier經(jīng)常解釋和揭秘安全新聞發(fā)生的緣由，并總結(jié)從中吸取的教訓(xùn)。

Bruce設(shè)計(jì)了流行的Blowfish和 Twofish 加密算法，后者入圍了新的聯(lián)邦高級(jí)加密標(biāo)準(zhǔn) (ABES)。Bruce 是國(guó)際密碼研究協(xié)會(huì)的董事會(huì)成員，并且是電子隱私信息中心的顧問(wèn)委員會(huì)成員。

Bruce擁有美利堅(jiān)大學(xué)的計(jì)算機(jī)科學(xué)碩士學(xué)位以及羅徹斯特大學(xué)的物理學(xué)學(xué)士學(xué)位。

布魯斯·施奈爾 - Bruce語(yǔ)錄

“每年被豬殺死的人超過(guò)了被鯊魚(yú)殺死的人，這可以讓您了解我們?cè)谠u(píng)估風(fēng)險(xiǎn)方面的表現(xiàn)。”

“數(shù)字文件無(wú)法做到不可復(fù)制，就像水永遠(yuǎn)是濕的一樣�！�

“技術(shù)問(wèn)題可以糾正，而不誠(chéng)實(shí)的企業(yè)文化更難以修復(fù)�！�

布魯斯·施奈爾 - 地位及思想

Bruce Schneier在安全業(yè)界，Bruce Schneier無(wú)異于一個(gè)搖滾明星，一個(gè)密碼學(xué)專家，一個(gè)計(jì)算機(jī)安全專家，寫(xiě)過(guò)大量的暢銷(xiāo)書(shū)，無(wú)數(shù)的專題文章，在他的博客www.schneier.com/blog可以找到這些文章，并且每個(gè)月有一本�？�，全球讀者大約有13萬(wàn)。同時(shí)Bruce Schneier在“IT安全界全球最有影響力的人”名單中榜上有名。今天我們來(lái)看下Bruce Sshneier是如何看待“安全是可以解決的問(wèn)題嗎？還是一場(chǎng)無(wú)休止的戰(zhàn)爭(zhēng)”。

“安全是可以解決的問(wèn)題嗎？還是一場(chǎng)無(wú)休止的戰(zhàn)爭(zhēng)”

問(wèn)題：最近幾年里各個(gè)公司和組織機(jī)構(gòu)對(duì)安全的態(tài)度主要有哪些變化？人們真的意識(shí)到了安全的重要性了嗎？是否已經(jīng)把安全提高到了戰(zhàn)略性的高度？還是仍舊認(rèn)為安全是一個(gè)附屬品。

Bruce Schneier：有一些變化，可以看到許多可管理的安全服務(wù)正在涌現(xiàn)，這些服務(wù)通常只注重結(jié)果，而不是技術(shù)了；這也表明現(xiàn)在的集團(tuán)組織越來(lái)越不關(guān)心具體的技術(shù)細(xì)節(jié)。同時(shí)隨著集團(tuán)對(duì)塞班司法案的重視，安全預(yù)算也隨之增加。您可以質(zhì)疑CXO們是否真的意識(shí)到了安全的重要性，還是只是應(yīng)付了事，但結(jié)果是一樣的。

我認(rèn)為安全有深層次的心理因素，人們習(xí)慣把安全當(dāng)作附屬品。詐騙盛行好幾百年了，銀行對(duì)此非常重視，因?yàn)殂y行花了幾個(gè)世紀(jì)來(lái)處理安全問(wèn)題。計(jì)算機(jī)和網(wǎng)絡(luò)安全還很年輕，可能也需要幾代人才能認(rèn)識(shí)到安全是產(chǎn)業(yè)核心的一部分。但是現(xiàn)在這樣也好，因?yàn)閷＜宜坪蹩偸鞘紫饶軌蚋�好的�?quán)衡利弊。

問(wèn)題：人們?nèi)耘f認(rèn)為安全是可以單純用技術(shù)可以解決的嗎？像好多人提起安全就是“加個(gè)防火墻”。最近幾年也看到一些文章討論安全是一個(gè)真正的人為事件，并不是單純靠技術(shù)就可以解決的。為什么這種爭(zhēng)論這么吸引人？


Bruce SchneierBruce Schneier：我們的社會(huì)對(duì)技術(shù)有種崇拜，技術(shù)可以解決很多問(wèn)題，在計(jì)算機(jī)世界，很多也確實(shí)如此。過(guò)幾年時(shí)間，文字處理、圖表、網(wǎng)絡(luò)等等問(wèn)題都可以解決，但是安全基本上是一個(gè)由人產(chǎn)生的問(wèn)題，所以技術(shù)只是很小一部分。

最終，隨著集團(tuán)組織不斷開(kāi)展各種業(yè)務(wù)，包括安全，他們就不會(huì)關(guān)心安全是怎么解決的了，安全已經(jīng)成了一部分。MSM（Mobile Station Modem，移動(dòng)臺(tái)調(diào)制解調(diào)）提供商就認(rèn)為安全是人、操作、技術(shù)的綜合體，他們把安全當(dāng)作一個(gè)整體銷(xiāo)售。

問(wèn)題：在當(dāng)今這個(gè)IT驅(qū)動(dòng)的世界，我認(rèn)為從概念上大多數(shù)人都認(rèn)為安全是一個(gè)重要的元素，但實(shí)際應(yīng)用上與之并不一致。還需要什么呢？

Bruce Schneier：安全100%是一種激勵(lì)，如果沒(méi)有經(jīng)濟(jì)刺激，再好的安全方案也不可能被實(shí)施，和經(jīng)濟(jì)刺激綁到一塊，安全公司就會(huì)全心全意地來(lái)解決安全問(wèn)題。在計(jì)算機(jī)世界，我一直認(rèn)為正確的激勵(lì)是責(zé)任，軟件廠商需要為不安全產(chǎn)品負(fù)責(zé)，集團(tuán)組織需要對(duì)人們的個(gè)人信息負(fù)責(zé)，這種經(jīng)濟(jì)刺激最終會(huì)使IT界越來(lái)越安全。

問(wèn)題：難道必須要把安全作為一項(xiàng)服務(wù)的內(nèi)嵌功能，沒(méi)有更好的辦法？

Bruce Schneier：無(wú)疑服務(wù)提供者能夠更好的處理安全問(wèn)題。我的公司在自己的網(wǎng)絡(luò)內(nèi)有反垃圾郵件、反釣魚(yú)、反惡意軟件等等安全措施，連上來(lái)沒(méi)有安全問(wèn)題，所以當(dāng)用戶沒(méi)有從ISP那里得到同級(jí)別的安全保證應(yīng)該是一種犯罪，還是一個(gè)激勵(lì)的問(wèn)題。ISP沒(méi)有動(dòng)力來(lái)做這些安全措施，如果這是他的責(zé)任，那么就不一樣了。

問(wèn)題：最后，從用戶的角度看，安全是可以解決的嗎？還是會(huì)演變成一場(chǎng)IT版的恐怖大戰(zhàn)。

Bruce Schneier：到目前為止有已經(jīng)被完全解決掉的安全問(wèn)題嗎？謀殺、搶劫這些問(wèn)題已經(jīng)存在了幾千年了。如果還有人問(wèn)計(jì)算機(jī)安全能夠解決，那只能證明我們對(duì)技術(shù)的崇拜。

計(jì)算機(jī)安全當(dāng)然不可能被完全解決。它是一個(gè)包含人為因素的問(wèn)題，自從猿猴進(jìn)化成人以來(lái)，類似的問(wèn)題就存在，并且將會(huì)一直存在下去。安全一直都是一種攻防對(duì)抗�！翱植来髴�(zhàn)”這種說(shuō)法最終也會(huì)消失并成為一段尷尬的歷史，但攻防對(duì)抗之間的較量將會(huì)一直進(jìn)行下去。

面對(duì)今天的安全挑戰(zhàn)，并沒(méi)有一種簡(jiǎn)單的解決方案，而且很多公司經(jīng)常希望以一種錯(cuò)誤的方式達(dá)到安全。

與安全專家Bruce Schneier談話，并不能給人帶來(lái)安全感。因?yàn)镾chneier并不售賣(mài)簡(jiǎn)單的解決方案。相反，他迫使企業(yè)、政府以及個(gè)人認(rèn)真檢查、審視他們所面臨的風(fēng)險(xiǎn)，并讓他們?cè)诓粩鄬ひ挻鸢傅倪^(guò)程中，漸漸接受這樣一個(gè)事實(shí)：沒(méi)有一個(gè)系統(tǒng)是絕對(duì)安全的。