Domov zabezpečenia Dôverujúce šifrovanie je teraz oveľa ťažšie

Dôverujúce šifrovanie je teraz oveľa ťažšie

Obsah:

Anonim

V máji 2013 Edward Snowden začal s vydávaním dokumentov v povodí, ktoré by otrasili naše vnímanie šifrovanej digitálnej komunikácie. Odborníci na bezpečnosť, ľudia, ktorí sa spoliehajú na šifrovanie, a dokonca aj samotní tvorcovia šifrovacích aplikácií sa obávajú, že môže byť nemožné dôverovať šifrovaniu znova.

Čo nedôveruje?

Je to zložitý problém, najmä preto, že sa zdá, že matematické šifrovanie je stále spoľahlivé. Za posledný rok sa spochybnilo to, ako sa implementovalo šifrovanie. Organizácie, ako je Národný inštitút pre normy a testovanie (NIST) a Microsoft, sú v horúcom sídle pre údajné ohrozenie štandardov šifrovania a tajné dohody s vládnymi orgánmi.


V novembri 2013 spoločnosť Snowden zverejnila dokumenty, ktoré obviňujú NIST zo oslabenia šifrovacieho algoritmu, čo umožňuje iným vládnym agentúram vykonávať dohľad. Po obvinení NIST podnikol kroky na obhajobu. Podľa Donny Dodsonovej, hlavnej poradkyne kybernetickej bezpečnosti NIST v tomto blogu, „spravodajské správy o uniknutých utajovaných dokumentoch vyvolali obavy zo strany kryptografickej komunity o bezpečnosti kryptografických štandardov a usmernení NIST. NIST je tiež týmito správami hlboko znepokojený spochybnil integritu procesu vývoja noriem NIST. ““


NIST je oprávnene znepokojený - nedôvera svetových kryptografických odborníkov by otriasla internetovým základom. Spoločnosť NIST aktualizovala svoj blog 22. apríla 2014 a pridala verejné komentáre prijaté k NISTIR 7977: Proces vývoja kryptografických štandardov a smerníc NIST, komentár odborníkov, ktorí študovali tento štandard. Dúfajme, že NIST a kryptografická komunita môžu dospieť k príjemnému riešeniu.


To, čo sa stalo s obrovským poskytovateľom softvéru Microsoft, bolo trochu nejasnejšie. Podľa časopisu Redmond Magazine obe strany FBI a NSA požiadali spoločnosť Microsoft, aby zabudovala do backdoor pre BitLocker, program spoločnosti na šifrovanie jednotiek. Chris Paoli, autor článku, robil rozhovor s Peterom Biddleom, vedúcim tímu BitLocker, ktorý sa zmienil o Microsofte. Našli však riešenie.


„Zatiaľ čo Biddle popiera budovanie na zadných vrátkach, jeho tím spolupracoval s FBI, aby ich naučil, ako môžu získavať údaje, vrátane zacielenia na záložné šifrovacie kľúče používateľov, “ vysvetlil Paoli.

A čo TrueCrypt?

Okolo nástroja BitLocker spoločnosti Microsoft sa takmer usadil prach. Potom, v máji 2014, tajný vývojový tím TrueCrypt šokoval kryptografický svet a oznámil, že TrueCrypt, špičkový open-source šifrovací softvér, už nie je k dispozícii. Akýkoľvek pokus o prístup na webovú stránku TrueCrypt bol presmerovaný na túto webovú stránku SourceForge.net, na ktorej sa zobrazilo toto upozornenie:



Dokonca ešte pred vydaním dokumentu Snowden by tento typ oznámenia šokoval tých, ktorí sa spoliehajú na TrueCrypt na ochranu svojich údajov. Pridajte pochybné šifrovacie postupy a šok sa zmení na vážnu úzkosť. Zástancovia open source, ktorí podporovali TrueCrypt, teraz čelia skutočnosti, že vývojári TrueCrypt odporúčajú, aby každý používal proprietárny nástroj BitLocker spoločnosti Microsoft.


Netreba dodávať, že konšpirační teoretici mali s týmto poľom deň. Existuje veľa rôznych názorov na dôvody tohto rozhodnutia. Experti ako Dan Goodin a Brian Krebs si spočiatku mysleli, že webová stránka bola napadnutá hackermi, ale po niektorých kontrolách túto predstavu odmietli.


Dve populárne teórie, ktoré sa spájajú s touto diskusiou:

  • Microsoft kúpil TrueCrypt na odstránenie konkurencie (smery migrácie BitLocker podporovali túto teóriu).
  • Tlak vlády prinútil vývojárov TrueCrypt k zatvoreniu webovej stránky (podobne ako pri Lavabit).
Podozrenie sa teraz týka všetkých foriem šifrovania jednoducho preto, že nikto nevie, ako sú zapojené vládne agentúry s vývojármi šifrovania. V blogovom príspevku zo septembra 2013 Bruce Schneier, svetovo uznávaný odborník v oblasti bezpečnosti, povedal: „Nové odhalenia Snowdendu sú výbušné. NSA je v podstate schopná dešifrovať väčšinu internetu. Robia to predovšetkým podvádzaním, nie pomocou matematika. Pamätajte si toto: Matematika je dobrá, ale matematika nemá žiadnu agentúru. Kód má agentúru a kód bol podvrátený. ““


Táto nedôvera v kódex pokračuje aj dnes. Skutočnosť, že kryptografi intenzívne skúmajú TrueCrypt (IsTrueCryptAuditedYet), je hlavným príkladom neistoty, ktorá naďalej existuje.

Čo môžeme veriť?

Edward Snowden aj Bruce Schneier tvrdia, že šifrovanie je stále najlepším riešením na zabránenie zvedavým očiam od citlivých osobných a firemných informácií.


Snowden počas rozhovoru SXSW s hlavným technologom ACLU Christopherom Soghoianom a Benom Wiznerom tiež povedal: „Pointa je, že šifrovanie funguje. Netreba myslieť na šifrovanie ako tajomné, temné umenie, ale ako základnú ochranu. pre digitálny svet. ““


Snowden potom ponúkol osobný príklad. NBÚ usilovne pracoval na tom, aké dokumenty mu unikli, ale nemajú tušenie, jednoducho preto, že nedokážu dešifrovať jeho súbory. Bruce Schneier je tiež v oblasti šifrovania. Napriek tomu Schneier varovaním varoval.


„Softvér s uzavretým zdrojovým kódom je pre NSA ľahší ako softvér s otvoreným zdrojom. Systémy spoliehajúce sa na hlavné tajomstvá sú NSA zraniteľné prostredníctvom zákonných alebo tajnejších prostriedkov, “ uviedol.


V troche irónie sa Schneierov komentár urobil ešte skôr, ako sa zavrel TrueCrypt a predtým, ako vývojári TrueCrypt začali navrhovať, aby ľudia používali BitLocker. Irónia: TrueCrypt je open source, zatiaľ čo BitLocker je uzavretý zdroj.

Dôverujúce šifrovanie je teraz oveľa ťažšie