Πίνακας περιεχομένων:
Τον Μάιο του 2013, ο Edward Snowden άρχισε να κυκλοφορεί το έγγραφο που θα οδηγήσει στην αντίληψή μας για κρυπτογραφημένες ψηφιακές επικοινωνίες. Οι ειδικοί ασφαλείας, οι άνθρωποι που βασίζονται στην κρυπτογράφηση και ακόμη και οι δημιουργοί των ίδιων των εφαρμογών κρυπτογράφησης τώρα είναι προβληματικοί ότι μπορεί να είναι αδύνατο να εμπιστευθεί ξανά την κρυπτογράφηση.
Τι δεν πρέπει να εμπιστευτείς;
Πρόκειται για περίπλοκο ζήτημα, ειδικά επειδή φαίνεται ότι τα μαθηματικά πίσω από την κρυπτογράφηση είναι ακόμα σταθερά. Αυτό που αμφισβητήθηκε κατά το παρελθόν έτος είναι ο τρόπος με τον οποίο εφαρμόστηκε η κρυπτογράφηση. Οργανισμοί, όπως το Εθνικό Ινστιτούτο Προτύπων και Δοκιμών (NIST) και η Microsoft, βρίσκονται στο καυτό κάθισμα για υποτιθέμενο συμβιβασμό των προτύπων κρυπτογράφησης και συνεννόηση με κυβερνητικούς οργανισμούς.
Τον Νοέμβριο του 2013, τα έγγραφα που κυκλοφόρησαν στο Snowden, τα οποία κατηγόρησαν την NIST ότι εξασθένησαν τον αλγόριθμό κρυπτογράφησης, επιτρέποντας σε άλλες κρατικές υπηρεσίες να πραγματοποιούν επιτήρηση. Αφού κατηγορήθηκε, η NIST έλαβε μέτρα για να αποκατασταθεί. Σύμφωνα με τη Donna Dodson, επικεφαλής του NIST, ο επικεφαλής της ασφάλειας στον κυβερνοχώρο σε αυτό το blog, "τα νέα για διαβαθμισμένα διαβαθμισμένα έγγραφα έχουν προκαλέσει ανησυχία από την κρυπτογραφική κοινότητα για την ασφάλεια των κρυπτογραφικών προτύπων και κατευθυντήριων γραμμών NIST. αμφισβήτησε την ακεραιότητα της διαδικασίας ανάπτυξης των προτύπων NIST. "
Η NIST ανησυχεί δικαίως - η μη εμπιστοσύνη των εμπειρογνωμόνων κρυπτογράφησης στον κόσμο θα σάπιαζε το ίδρυμα του Ίντερνετ. Το NIST ενημέρωσε το ιστολόγιό του στις 22 Απριλίου 2014, προσθέτοντας δημόσια σχόλια που ελήφθησαν στο NISTIR 7977: NIST Cryptographic Standards and Guidelines Development Process, σχόλια από ειδικούς που μελέτησαν το πρότυπο. Ας ελπίσουμε ότι η NIST και η κρυπτογραφική κοινότητα μπορούν να φτάσουν σε μια ευχάριστη λύση.
Τι συνέβη με τον γιγαντιαίο προμηθευτή λογισμικού Η Microsoft ήταν λίγο πιο θορυβώδης. Σύμφωνα με το περιοδικό Redmond Magazine, τόσο το FBI όσο και το NSA ζήτησαν από τη Microsoft να δημιουργήσει ένα backdoor στο BitLocker, το πρόγραμμα κρυπτογράφησης της εταιρείας. Ο Chris Paoli, συγγραφέας του άρθρου, συνέντευξη από τον Peter Biddle, επικεφαλής της ομάδας BitLocker, ο οποίος ανέφερε τη Microsoft, βρισκόταν σε δύσκολη θέση από τους οργανισμούς. Ωστόσο, βρήκαν μια λύση.
"Ενώ ο Biddle αρνείται να χτίσει ένα backdoor, η ομάδα του εργάστηκε με το FBI για να τους διδάξει πώς θα μπορούσαν να ανακτήσουν δεδομένα, συμπεριλαμβανομένης της στόχευσης των κλειδιών κρυπτογράφησης των χρηστών", εξηγεί ο Paoli.
Τι γίνεται με το TrueCrypt;
Η σκόνη σχεδόν εγκαταστάθηκε γύρω από το BitLocker της Microsoft. Στη συνέχεια, τον Μάιο του 2014, η μυστική ομάδα ανάπτυξης TrueCrypt συγκλόνισε τον κόσμο της κρυπτογράφησης, ανακοινώνοντας ότι το TrueCrypt, το κορυφαίο λογισμικό κρυπτογράφησης ανοιχτού κώδικα, δεν ήταν πλέον διαθέσιμο. Οποιαδήποτε προσπάθεια πρόσβασης στον ιστότοπο TrueCrypt μεταφέρθηκε σε αυτή την ιστοσελίδα του SourceForge.net, η οποία εμφάνισε την ακόλουθη προειδοποίηση:
Ακόμη και πριν από την έκδοση του εγγράφου Snowden, αυτό το είδος ανακοίνωσης θα είχε σοκάρει εκείνους που βασίζονται στο TrueCrypt για την προστασία των δεδομένων τους. Προσθέστε σε αμφισβητήσιμες πρακτικές κρυπτογράφησης και το σοκ μετατρέπεται σε σοβαρή αγωνία. Επιπλέον, οι υποστηρικτές ανοιχτού κώδικα που υποστηρίζουν το TrueCrypt αντιμετωπίζουν τώρα το γεγονός ότι οι προγραμματιστές TrueCrypt συστήνουν ότι όλοι χρησιμοποιούν το ιδιόκτητο BitLocker της Microsoft.
Περιττό να πούμε ότι οι θεωρητικοί συνωμοσίας είχαν μια μέρα πεδίου με αυτό. Υπάρχουν πολλές διαφορετικές απόψεις σχετικά με τους λόγους πίσω από την απόφαση. Αρχικά, εμπειρογνώμονες όπως ο Dan Goodin και ο Brian Krebs σκέφτηκαν ότι ο ιστότοπος είχε χαραχθεί, αλλά μετά από μερικούς ελέγχους και οι δύο απέρριψαν αυτή την ιδέα.
Δύο δημοφιλείς θεωρίες που ευθυγραμμίζονται με αυτή τη συζήτηση:
- Η Microsoft αγόρασε το TrueCrypt για να εξαλείψει τον ανταγωνισμό (οι οδηγίες για τη μετάβαση του BitLocker τροφοδότησαν αυτή τη θεωρία).
- Η κυβερνητική πίεση ανάγκασε τους προγραμματιστές της TrueCrypt να κλείσουν τον ιστότοπο (παρόμοιο με αυτό που συνέβη με το Lavabit).
Αυτή η έλλειψη πίστης στον κώδικα συνεχίζεται σήμερα. Το γεγονός ότι οι κρυπτογράφοι πραγματοποιούν μια έντονη ανασκόπηση του TrueCrypt (IsTrueCryptAuditedYet) είναι ένα πρωταρχικό παράδειγμα της αβεβαιότητας που εξακολουθεί να υπάρχει.
Τι μπορούμε να εμπιστευθούμε;
Τόσο ο Edward Snowden όσο και ο Bruce Schneier έχουν πει ότι η κρυπτογράφηση εξακολουθεί να είναι η καλύτερη λύση για τη διατήρηση των εξαγριωμένων οφθαλμών μακριά από ευαίσθητες προσωπικές και εταιρικές πληροφορίες.
Ο Snowden, κατά τη διάρκεια της συνέντευξης του SXSW με τον κύριο τεχνολόγο της ACLU Christopher Soghoian και τον Ben Wizner, επίσης από την ACLU, δήλωσε: "Η βασική ιδέα είναι ότι η κρυπτογράφηση δεν λειτουργεί, δεν πρέπει να θεωρούμε την κρυπτογράφηση ως μια σκοτεινή, σκοτεινή τέχνη, για τον ψηφιακό κόσμο. "
Ο Snowden προσέφερε ένα προσωπικό παράδειγμα. Η NSA εργάστηκε σκληρά για να καταλάβει ποια έγγραφα διαχέει, αλλά δεν έχουν ιδέα, απλά επειδή δεν είναι σε θέση να αποκρυπτογραφήσουν τα αρχεία του. Ο Bruce Schneier είναι επίσης όλοι όταν πρόκειται για κρυπτογράφηση. Ωστόσο, ο Schneier μετρίασε την υποστήριξή του με προειδοποίηση.
"Το λογισμικό κλειστής πηγής είναι πιο εύκολο για το NSA από το λογισμικό ανοιχτού κώδικα. Τα συστήματα που βασίζονται σε βασικά μυστικά είναι ευάλωτα στην NSA, είτε με νόμιμα είτε με πιο κρυφά μέσα", δήλωσε.
Με λίγη ειρωνεία, το σχόλιο του Schneier έγινε επίσης πριν το TrueCrypt κλείσει και πριν οι προγραμματιστές της TrueCrypt άρχισαν να προτείνουν ότι οι χρήστες χρησιμοποιούν το BitLocker. Η ειρωνεία: Το TrueCrypt είναι ανοιχτού κώδικα, ενώ το BitLocker είναι κλειστή πηγή.