Cuprins:
În mai 2013, Edward Snowden a început lansarea sa de documente care ar zguduie percepția noastră despre comunicațiile digitale criptate. Experții în securitate, persoanele care se bazează pe criptare și chiar creatorii de aplicații de criptare în sine sunt acum îngrijorați că poate fi imposibil să ai încredere din nou în criptare.
Ce nu trebuie să ai încredere?
Este o problemă complicată, mai ales că se pare că matematica din spatele criptării este încă solidă. Ceea ce a fost pus în discuție în ultimul an este modul în care a fost implementată criptarea. Organizații, cum ar fi Institutul Național de Standarde și Testare (NIST) și Microsoft, se află pe scaunul fierbinte pentru a presupune compromiterea standardelor de criptare și coluzionarea cu agențiile guvernamentale.
În noiembrie 2013, documentele lansate de Snowden care acuzau NIST că își slăbesc algoritmul de criptare, permițând altor agenții guvernamentale să efectueze supraveghere. După ce a fost acuzat, NIST a luat măsuri pentru a se revendica. Potrivit femeii Dodson, consilierul principal în domeniul cibersecurității NIST pe acest blog, „rapoartele de știri despre documentele clasificate scurse au provocat îngrijorare din partea comunității criptografice cu privire la securitatea standardelor și orientărilor criptografice NIST. NIST este, de asemenea, profund preocupat de aceste rapoarte. a pus sub semnul întrebării integritatea procesului de dezvoltare a standardelor NIST. "
NIST este îngrijorat de drept - neavând încrederea experților criptografici din lume ar zguduie fundamentul Internetului. NIST și-a actualizat blogul pe 22 aprilie 2014, adăugând comentarii publice primite pe NISTIR 7977: NIST Cryptographic Standards and Guidelines Development Process, comentarii ale experților care au studiat standardul. Sperăm că NIST și comunitatea criptografică pot ajunge la o soluție agreabilă.
Ceea ce s-a întâmplat cu gigantul furnizor de software Microsoft a fost un pic mai agitat. Potrivit Redmond Magazine, atât FBI-ul cât și NSA au cerut Microsoft să construiască într-o copertă din spate către BitLocker, programul de criptare a drive-urilor companiei. Chris Paoli, autorul articolului, l-a intervievat pe Peter Biddle, șeful echipei BitLocker, care a menționat că Microsoft a fost plasat într-o poziție penibilă de către agenții. Cu toate acestea, au găsit o soluție.
"În timp ce Biddle neagă construirea într-o copertă din spate, echipa sa a lucrat cu FBI-ul pentru a-i învăța cum pot recupera datele, inclusiv vizând cheile de criptare ale utilizatorilor", a explicat Paoli.
Ce zici de TrueCrypt?
Praful s-a așezat aproape în jurul BitLocker-ului Microsoft. Apoi, în mai 2014, echipa de dezvoltare secretă TrueCrypt a șocat lumea criptografiei, anunțând că TrueCrypt, primul software de criptare open-source, nu mai este disponibil. Orice încercare de a ajunge pe site-ul TrueCrypt a fost redirecționat către această pagină Web SourceForge.net care afișa următorul avertisment:
Chiar înainte de lansarea documentului Snowden, acest tip de anunț i-ar fi șocat pe cei care se bazează pe TrueCrypt pentru a-și proteja datele. Adăugați în practici de criptare discutabile și șocul se transformă în angoasă gravă. În plus, avocații open-source care au susținut TrueCrypt se confruntă acum cu faptul că dezvoltatorii TrueCrypt recomandă tuturor să folosească BitLocker, Microsoft.
Inutil să spun, teoreticienii conspirației au avut o zi de lucru cu asta. Există multe opinii diferite cu privire la motivele din spatele deciziei. La început, experți precum Dan Goodin și Brian Krebs au crezut că site-ul web a fost hacked, dar în urma unor verificări, ambele au respins această noțiune.
Două teorii populare care se aliniază la această discuție:
- Microsoft a cumpărat TrueCrypt pentru a elimina concurența (direcțiile de migrare BitLocker au alimentat această teorie).
- Presiunea guvernamentală i-a obligat pe dezvoltatorii TrueCrypt să închidă site-ul (similar cu ceea ce s-a întâmplat cu Lavabit).
Această lipsă de credință în cod continuă și astăzi. Faptul că criptografii efectuează o revizuire intensă a TrueCrypt (IsTrueCryptAuditedYet) este un exemplu primordial al incertitudinii care continuă să existe.
În ce putem avea încredere?
Atât Edward Snowden, cât și Bruce Schneier, au spus că criptarea este încă cea mai bună soluție pentru a ține ochii îndepărtați de informațiile personale și ale companiei sensibile.
Snowden, în cadrul interviului său SXSW cu tehnologul principal ACLU, Christopher Soghoian și Ben Wizner, de asemenea, a ACLU, a spus: „Concluzia este că criptarea funcționează. Nu trebuie să ne gândim la criptare ca la o artă arcană și întunecată, ci ca o protecție de bază. pentru lumea digitală. "
Snowden a oferit apoi un exemplu personal. ANS a lucrat din greu pentru a-și da seama de documentele pe care le-a scurs, dar habar nu au, doar pentru că nu sunt în stare să le decripteze dosarele. Bruce Schneier este, de asemenea, totul în legătură cu criptarea. Cu toate acestea, Schneier și-a temperat sprijinul cu un avertisment.
"Software-ul cu sursă închisă este mai ușor pentru NSA în spate decât software-ul open-source. Sistemele care se bazează pe secretele principale sunt vulnerabile la NSA, prin mijloace legale sau mai clandestine", a spus el.
Într-un pic de ironie, comentariul lui Schneier a fost făcut și înainte de închiderea TrueCrypt și înainte ca dezvoltatorii TrueCrypt să înceapă să sugereze că oamenii folosesc BitLocker. Ironia: TrueCrypt este open source, în timp ce BitLocker este sursa închisă.