Dom sigurnosti Povjerenje šifriranju samo je postalo puno teže

Povjerenje šifriranju samo je postalo puno teže

Sadržaj:

Anonim

U svibnju 2013., Edward Snowden počeo je s izdavanjem dokumenata koji će poljuljati našu percepciju šifrirane digitalne komunikacije. Sigurnosni stručnjaci, ljudi koji se oslanjaju na šifriranje, pa čak i sami tvorci aplikacija za šifriranje, sada su zabrinuti da će možda biti nemoguće ponovo vjerovati šifriranju.

Što se ne vjeruje?

To je komplicirano pitanje, pogotovo zato što se čini da je matematika koja stoji iza šifriranja još uvijek solidna. Tijekom protekle godine dovedeno je u pitanje kako se provodi enkripcija. Organizacije kao što su Nacionalni institut za standarde i testiranje (NIST) i Microsoft nalaze se na vrućem mjestu zbog navodnog ugrožavanja standarda šifriranja i sukoba s vladinim agencijama.


U studenom 2013. godine Snowden je objavio dokumente koji su optuživali NIST da slabi algoritam šifriranja, dopuštajući drugim vladinim agencijama da vrše nadzor. Nakon optužbi, NIST je poduzeo korake da se osveti. Prema Donni Dodson, glavnoj NIST-ovoj savjetnici za kibernetičku sigurnost na ovom blogu, "vijesti o procurivim tajnim dokumentima izazvale su zabrinutost kod kriptografske zajednice zbog sigurnosti kriptografskih standarda i smjernica NIST-a. NIST je također duboko zabrinut zbog ovih izvještaja, od kojih su neki imali doveo u pitanje integritet procesa razvoja NIST-a. "


Sa NIST se s pravom brine - nepovjerenje svjetskih kriptografskih stručnjaka poljuljalo bi internet temelje. NIST je ažurirao svoj blog 22. travnja 2014, dodajući komentare javnosti primljene na NISTIR 7977: Proces razvoja kriptografskih standarda i smjernica NIST, komentare stručnjaka koji su proučavali standard. Nadamo se da NIST i kriptografska zajednica mogu naći ugodno rješenje.


Ono što se dogodilo s velikim softverskim pružateljem softvera Microsoft bilo je malo nejasnije. Prema časopisu Redmond Magazine, i FBI i NSA tražili su od Microsofta da izgradi zaklon za BitLocker, tvrtkin program za šifriranje pogona. Chris Paoli, autor članka, intervjuirao je Petera Biddlea, šefa BitLocker tima, koji je spomenuo da su agencije Microsoft postavile u neugodan položaj. Međutim, našli su rješenje.


"Dok Biddle negira izgradnju stražnjih vrata, njegov tim radio je s FBI-om kako bi ih naučio kako mogu dohvatiti podatke, uključujući ciljanje korisničkih ključeva za enkripciju", objasnio je Paoli.

Što je s TrueCryptom?

Prašina se gotovo slegla oko Microsoftovog BitLockera. Potom je u svibnju 2014. tajni razvojni tim TrueCrypt šokirao kriptografski svijet, najavivši da TrueCrypt, vrhunski open-source softver za šifriranje, više nije dostupan. Svaki pokušaj dolaska na web stranicu TrueCrypt preusmjeren je na ovu web stranicu SourceForge.net koja prikazuje sljedeće upozorenje:



Čak i prije objavljivanja Snowdendovog dokumenta, ova vrsta najave šokirala bi one koji se oslanjaju na TrueCrypt kako bi zaštitili svoje podatke. Dodajte sumnjive prakse šifriranja i šok se pretvori u ozbiljan grozan udarac. Osim toga, zagovornici otvorenog koda koji su podržali TrueCrypt sada se suočavaju s činjenicom da TrueCrypt programeri preporučuju svima da koriste Microsoftov vlasnički BitLocker.


Nepotrebno je reći da su teoretičari zavjere imali terenski dan s tim. Mnogo je različitih mišljenja o razlozima koji stoje iza odluke. U početku su stručnjaci poput Dan Goodina i Briana Krebsa smatrali da je web mjesto hakirano, ali nakon što su neka provjera obojica to mišljenje odbacila.


Dvije popularne teorije koje se usklađuju s ovom raspravom:

  • Microsoft je kupio TrueCrypt kako bi eliminirao konkurenciju (BitLocker upute za migraciju potaknule su ovu teoriju).
  • Vladin pritisak prisilio je programere TrueCrypta da zatvore web mjesto (slično onome što se dogodilo Lavabitu).
Sumnja se sada baca na sve oblike šifriranja samo zato što nitko ne zna koliko su vladine agencije uključene u programere šifriranja. U postu na blogu od rujna 2013., Bruce Schneier, svjetski poznati sigurnosni stručnjak, rekao je: "Nove Snowdenove objave su eksplozivne. U osnovi, NSA je u stanju dešifrirati većinu Interneta. To rade prije svega varanjem, a ne putem matematika. Zapamtite ovo: matematika je dobra, ali matematika nema agenciju. Kod ima agenciju, a kod je poništen. "


Taj nedostatak vjere u kodeks nastavlja se i danas. Činjenica da kriptografi provode intenzivan pregled TrueCrypta (IsTrueCryptAuditedYet) predstavlja sjajan primjer nesigurnosti koja i dalje postoji.

Čemu možemo vjerovati?

I Edward Snowden i Bruce Schneier rekli su da je šifriranje i dalje najbolje rješenje za sprječavanje znatiželjnih očiju od osjetljivih osobnih i podataka o tvrtki.


Snowden je tijekom razgovora sa SXSW-om s glavnim tehnologom ACLU-a Christopherom Soghoianom i Benom Wiznerom, također ACLU-om, rekao: "Suština je u tome što šifriranje djeluje. Moramo razmišljati o šifriranju ne kao tajnoj, tamnoj umjetnosti, već kao o osnovnoj zaštiti. za digitalni svijet. "


Snowden je tada ponudio osobni primjer. NSA naporno radi na otkrivanju kakvih je dokumenata procurio, ali oni nemaju pojma, jednostavno zato što nisu u mogućnosti dešifrirati njegove dosjee. Bruce Schneier je također uključen kada je u pitanju šifriranje. Ipak, Schneier je svoju podršku upozorio.


"Softver zatvorenog koda NSA je lakši za backdoor nego softver otvorenog koda. Sustavi koji se oslanjaju na glavne tajne ranjivi su za NSA, bilo putem zakonskih ili preko tajnih sredstava", rekao je.


U malo ironije, Schneierov komentar objavljen je i prije zatvaranja TrueCrypta, a prije nego što su TrueCrypt programeri počeli sugerirati da ljudi koriste BitLocker. Ironija: TrueCrypt je open source, dok je BitLocker zatvoreni izvor.

Povjerenje šifriranju samo je postalo puno teže