Zaufanie do szyfrowania stało się o wiele trudniejsze

W maju 2013 r. Edward Snowden rozpoczął wydawanie dokumentu z przełomem, który podważyłby nasze postrzeganie szyfrowanej komunikacji cyfrowej. Eksperci ds. Bezpieczeństwa, ludzie polegający na szyfrowaniu, a nawet sami twórcy aplikacji szyfrujących są teraz zaniepokojeni, że ponowne zaufanie do szyfrowania może być niemożliwe.

Czego nie można ufać?

Jest to skomplikowany problem, zwłaszcza dlatego, że wydaje się, że matematyka kryptograficzna jest nadal solidna. W ciągu ostatniego roku zakwestionowano sposób implementacji szyfrowania. Organizacje, takie jak National Institute of Standards and Testing (NIST) i Microsoft, są na topie za rzekome naruszanie standardów szyfrowania i zmowę z agencjami rządowymi.

W listopadzie 2013 r. Snowden opublikował dokumenty, w których oskarżono NIST o osłabienie algorytmu szyfrowania, co pozwoliło innym agencjom rządowym na prowadzenie nadzoru. Po oskarżeniu NIST podjął kroki w celu usprawiedliwienia się. Według Donny Dodson, głównego doradcy NIST ds. Cyberbezpieczeństwa na tym blogu, „doniesienia o wyciekach dokumentów niejawnych wywołały obawy społeczności kryptograficznej o bezpieczeństwo standardów i wytycznych kryptograficznych NIST. NIST jest również głęboko zaniepokojony tymi raportami, z których niektóre mają zakwestionował integralność procesu opracowywania standardów NIST. ”

NIST jest słusznie zaniepokojony - brak zaufania światowych ekspertów kryptograficznych wstrząsnąłby fundamentem Internetu. NIST zaktualizował swojego bloga 22 kwietnia 2014 r., Dodając publiczne komentarze otrzymane na NISTIR 7977: Proces opracowywania standardów kryptograficznych i wytycznych NIST, komentarz ekspertów, którzy badali ten standard. Mamy nadzieję, że NIST i społeczność kryptograficzna mogą znaleźć satysfakcjonujące rozwiązanie.

To, co stało się z gigantycznym dostawcą oprogramowania Microsoft, było nieco bardziej niejasne. Według Redmond Magazine zarówno FBI, jak i NSA poprosiły Microsoft o wbudowanie backdoora do BitLocker, programu do szyfrowania dysków firmy. Chris Paoli, autor artykułu, przeprowadził wywiad z Peterem Biddle, szefem zespołu BitLocker, który wspomniał, że Microsoft został postawiony w niezręcznej sytuacji przez agencje. Jednak znaleźli rozwiązanie.

„Podczas gdy Biddle zaprzecza budowaniu backdoora, jego zespół współpracował z FBI, aby nauczyć ich, jak mogą pobierać dane, w tym celować w zapasowe klucze szyfrujące użytkowników” - wyjaśniła Paoli.

Co z TrueCrypt?

Pył prawie osiadł wokół BitLocker Microsoftu. Następnie w maju 2014 r. Tajny zespół programistów TrueCrypt zszokował świat kryptografii, ogłaszając, że TrueCrypt, najlepsze oprogramowanie do szyfrowania typu open source, nie jest już dostępne. Każda próba dostania się na stronę TrueCrypt została przekierowana na tę stronę SourceForge.net, która wyświetliła następujące ostrzeżenie:

Nawet przed wydaniem dokumentu Snowden ten typ ogłoszenia zszokowałby tych, którzy polegają na TrueCrypt w celu ochrony swoich danych. Dodaj wątpliwe praktyki szyfrowania, a szok przerodzi się w poważny niepokój. Ponadto zwolennicy oprogramowania typu open source, którzy wsparli TrueCrypt, stoją teraz przed faktem, że programiści TrueCrypt zalecają wszystkim korzystanie z zastrzeżonej przez Microsoft funkcji BitLocker.

Nie trzeba dodawać, że teoretycy spiskowcy mieli z tym niezły dzień. Istnieje wiele różnych opinii na temat przyczyn tej decyzji. Początkowo eksperci tacy jak Dan Goodin i Brian Krebs sądzili, że strona została zhakowana, ale po kilku sprawdzeniach obaj odrzucili to pojęcie.

Dwie popularne teorie, które pasują do tej dyskusji:

• Microsoft kupił TrueCrypt, aby wyeliminować konkurencję (kierunki migracji BitLocker podsyciły tę teorię).
• Naciski rządu zmusiły programistów TrueCrypt do zamknięcia strony internetowej (podobnie jak w przypadku Lavabit).

Podejrzewa się teraz wszystkie formy szyfrowania tylko dlatego, że nikt nie wie, w jaki sposób agencje rządowe są zaangażowane w tworzenie programów szyfrujących. We wpisie na blogu z września 2013 r. Bruce Schneier, światowej sławy ekspert ds. Bezpieczeństwa, powiedział: „Nowe odkrycia Snowdena są wybuchowe. Zasadniczo NSA jest w stanie odszyfrować większość Internetu. Robią to przede wszystkim poprzez oszukiwanie, a nie przez matematyka. Pamiętajcie o tym: matematyka jest dobra, ale matematyka nie ma żadnej agendy. Kod ma agencję, a kod został obalony ”.

Ten brak wiary w kodeks trwa do dziś. Fakt, że kryptografowie przeprowadzają intensywną analizę TrueCrypt (IsTrueCryptAuditedYet), jest doskonałym przykładem niepewności, która nadal istnieje.

Co możemy ufać?

Zarówno Edward Snowden, jak i Bruce Schneier stwierdzili, że szyfrowanie jest nadal najlepszym rozwiązaniem, aby trzymać wścibskie oczy z dala od poufnych informacji osobistych i firmowych.

Snowden, podczas wywiadu SXSW z głównym technologem ACLU, Christopherem Soghoianem i Benem Wiznerem, również z ACLU, powiedział: „Najważniejsze jest to, że szyfrowanie działa. Nie musimy myśleć o szyfrowaniu jako tajemnej, mrocznej sztuce, ale jako podstawowej ochronie dla świata cyfrowego ”.

Snowden następnie zaoferował osobisty przykład. NSA ciężko pracował, aby dowiedzieć się, jakie dokumenty wyciekły, ale nie mają pojęcia, po prostu dlatego, że nie są w stanie odszyfrować jego plików. Bruce Schneier jest również zaangażowany w szyfrowanie. Mimo to Schneier hartował swoje wsparcie ostrzeżeniem.

„Oprogramowanie z zamkniętym źródłem jest łatwiejsze dla NSA do backdoora niż oprogramowanie typu open source. Systemy oparte na tajemnicach głównych są podatne na atak na NSA, zarówno legalnie, jak i w bardziej tajny sposób” - powiedział.

Jak na ironię, komentarz Schneiera został również usunięty przed zamknięciem TrueCrypt i zanim programiści TrueCrypt zaczęli sugerować, że ludzie używają BitLocker. Ironia: TrueCrypt jest open source, podczas gdy BitLocker jest zamkniętym źródłem.