Tartalom
Elvitel:
Edward Snowdens a személyes adatokhoz való kormányzati hozzáférésről szóló kijelentései gyanúját vetítették fel, hogy a "titkosított" adatok valóban mennyire biztonságosak.
2013 májusában Edward Snowden elindította a vízgyűjtő dokumentum kiadását, amely rázta felfogásunkat a titkosított digitális kommunikációról. A biztonsági szakértők, a titkosításra támaszkodó emberek, sőt maguk a titkosítási alkalmazások alkotói is attól tartanak, hogy lehetetlen lehet újra bízni a titkosításban.Mi nem bízni?
Bonyolult kérdés, különösen azért, mert úgy tűnik, hogy a titkosítás mögött meghúzódó matematika továbbra is szilárd. Az elmúlt évben megkérdőjelezték a titkosítás végrehajtását. Az olyan szervezetek, mint a Nemzeti Szabványügyi és Tesztelési Intézet (NIST) és a Microsoft, forró helyzetben vannak a titkosítási szabványok állítólagos veszélyeztetése és a kormányzati ügynökségekkel való összejátszás terén.2013 novemberében Snowden kiadta azokat a dokumentumokat, amelyek azzal vádolták a NIST-t, hogy gyengítette a titkosítási algoritmusát, lehetővé téve más kormányzati ügynökségek számára, hogy felügyeletet végezzenek. A vád elnyerése után a NIST lépéseket tett önmagának igazolására. Donna Dodson, a NIST fő e-blog kiberbiztonsági tanácsadója szerint "a kiszivárogtatott minõsített dokumentumokról szóló híradások a kriptográfiai közösség aggodalmát okozták a NIST kriptográfiai szabványainak és irányelveinek biztonságát illetõen. A NIST-t szintén mélységesen aggasztják ezek a jelentések, amelyek közül néhány megkérdőjelezte a NIST szabványok kidolgozási folyamatának integritását. "
A NIST joggal foglalkozik - ha a világ kriptográfiai szakértőinek nincs bizalma, az rontja az internet alapját. A NIST 2014. április 22-én frissítette blogját, és hozzátette a NISTIR 7977: NIST kriptográfiai szabványok és iránymutatások kidolgozási folyamatának nyilvános megjegyzéseit, a szabványt tanulmányozó szakértők kommentárját. Remélhetőleg a NIST és a kriptográfiai közösség kellemes megoldást találhat.
Ami az óriási Microsoft-szállítóval történt, kissé homályosabb lett. A Redmond Magazine szerint mind az FBI, mind az NSA felkérte a Microsoftot, hogy építsen be egy hátsó ajtót a BitLockerhez, a cég meghajtó-titkosítási programjához. Chris Paoli, a cikk szerzője interjút készített Peter Biddle-vel, a BitLocker csapat vezetőjével, aki megemlítette, hogy az ügynökségek a Microsoftot kínos helyzetbe helyezték. Megtaláltak azonban megoldást.
"Míg a Biddle tagadja a hátsó ajtóban történő építést, csapata az FBI-val együtt dolgozott, hogy megtanítsa számukra az adatok visszaszerzésének módját, ideértve a felhasználók biztonsági mentési titkosítási kulcsainak célzását is" - magyarázta Paoli.
Mi a helyzet a TrueCrypttel?
A por szinte leülepedett a Microsoft BitLocker körül. Aztán, 2014 májusában, a titkos TrueCrypt fejlesztő csapat megrázta a kriptográfia világát, bejelentette, hogy a TrueCrypt, a premier nyílt forrású titkosítási szoftver már nem érhető el. A TrueCrypt webhelyre való belépés minden kísérletét erre a SourceForge.net weboldalra átirányította, amely a következő figyelmeztetést jelentette:Még a Snowden dokumentum kiadása előtt is ez a fajta bejelentés megdöbbentené azokat, akik adataik védelme érdekében a TrueCryptre támaszkodnak. Adja hozzá a megkérdőjelezhető titkosítási gyakorlatokat, és a sokk súlyos angstussá válik. Ráadásul a TrueCrypt-et támogató nyílt forrású képviselõk most szembesülnek azzal a ténnyel, hogy a TrueCrypt fejlesztõi mindenkinek javasolják a Microsoft védett BitLocker használatát.
Mondanom sem kell, hogy az összeesküvés-elméletek terepnapja volt ezzel. Sok különböző vélemény van a döntés mögött. Eleinte olyan szakértők, mint Dan Goodin és Brian Krebs, úgy gondolták, hogy a webhelyet feltörték, ám némi ellenőrzés után mindkettő elutasította ezt a fogalmat.
Két népszerű elmélet, amelyek igazodnak ehhez a vitához:
- A Microsoft megvásárolta a TrueCrypt-et a verseny megszüntetése érdekében (a BitLocker migrációs irányok táplálták ezt az elméletet).
- A kormányzati nyomás arra kényszerítette a TrueCrypt fejlesztőit, hogy bezárják a weboldalt (hasonlóan a Lavabithoz történthez).
A kódexbe vetett hit hiánya ma is folytatódik. Az a tény, hogy a kriptográfusok intenzíven felülvizsgálják a TrueCrypt (IsTrueCryptAuditedYet), kiváló példája a továbbra is fennálló bizonytalanságnak.
Miben bízhatunk?
Edward Snowden és Bruce Schneier egyaránt elmondta, hogy a titkosítás továbbra is a legjobb megoldás az érdeklődő szemét távol tartva az érzékeny személyes és vállalati információktól.
Snowden, az ACLU fő technológusával, Christopher Soghoiannal és Ben Wiznerrel, valamint az ACLU-ból is, az SXSW-vel folytatott interjújában azt mondta: "A lényeg az, hogy a titkosítás működik. Nem kell a titkosításról gondos, sötét művészetként gondolnunk, hanem mint alapvető védelemre. a digitális világ számára. "
Snowden ezután személyes példát ajánlott fel. Az NSA keményen dolgozik azon, hogy kitalálja, milyen dokumentumok szivárogtak be, ám fogalmuk sincs, egyszerűen azért, mert nem tudják visszafejteni az aktáit. Bruce Schneiernek szintén van benne titkosítása. Ennek ellenére Schneier figyelmeztetéssel enyhítette a támogatását.
"A zárt forrású szoftvert az NSA könnyebben képes átjárni, mint a nyílt forráskódú szoftvert. A mester titkokra támaszkodó rendszerek sebezhetők az NSA-vel, akár törvényes, akár titkosabb eszközök útján" - mondta.
Kissé ironikusan Schneier megjegyzése is megtörtént, mielőtt a TrueCrypt bezárták volna, és még mielőtt a TrueCrypt fejlesztői azt javasolták, hogy az emberek használják a BitLockert. Az irónia: TrueCrypt nyílt forráskódú, míg a BitLocker zárt forrású.