Salauksen luottaminen on entistä vaikeampaa

Toukokuussa 2013 Edward Snowden aloitti vesipiirin dokumenttijulkaisun, joka ravistelisi käsitystämme salatusta digitaaliviestinnästä. Turvallisuusasiantuntijat, salausun luottavat ihmiset ja jopa salaussovellusten luojat ovat nyt huolissaan siitä, että salauksen luottaminen voi olla mahdotonta.

Mitä ei luota?

Se on monimutkainen aihe, etenkin koska näyttää siltä, ​​että matematiikka salauksen takana on edelleen vakaa. Viime vuoden aikana on kyseenalaistettu salausten toteutus. Organisaatiot, kuten Kansallinen standardointi- ja testausinstituutti (NIST) ja Microsoft, ovat kuumissa paikoissa väittääkö salausstandardeja vaarantavan ja tekevän yhteistyötä valtion virastojen kanssa.

Marraskuussa 2013 Snowden julkaisi asiakirjat, joissa syytettiin NIST: ää heikentämästä sen salausalgoritmia, jonka avulla muut valtion virastot voivat suorittaa valvontaa. Syytteensä saatuaan NIST ryhtyi toimenpiteisiin itsensä oikeuttamiseksi. NIST: n tämän blogin kyberturvallisuusneuvonantajan Donna Dodsonin mukaan "vuotaneet turvaluokiteltuja asiakirjoja koskevat uutisraportit ovat aiheuttaneet kryptografiayhteisöltä huolen NIST-salausstandardien ja -ohjeiden turvallisuudesta. NIST on myös erittäin huolissaan näistä raporteista, joista osa on kyseenalaisti NIST-standardien kehitysprosessin eheyden. "

NIST on huolestunut siitä, että ilman maailman salausasiantuntijoiden luottamusta ravistettaisiin Internetin perustaa. NIST päivitti blogiaan 22. huhtikuuta 2014 ja lisäsi NISTIR 7977: een saatuja julkisia kommentteja: NIST-salausteknisten standardien ja ohjeiden kehittämisprosessin, standardia tutkineiden asiantuntijoiden kommentteja. Toivottavasti NIST ja salausyhteisö voivat löytää sopivan ratkaisun.

Se, mitä jättiläiselle ohjelmistotoimittajalle Microsoftille tapahtui, oli hieman sumuisempaa. Redmond Magazine -lehden mukaan sekä FBI että NSA pyysivät Microsoftia rakentamaan takaoven BitLockerille, joka on yrityksen asemansalausohjelma. Artikkelin kirjoittaja Chris Paoli haastatteli BitLocker-tiimin vetäjää Peter Biddleä. Hän mainitsi, että virastot asettivat Microsoftin vaikeaseen asemaan. He kuitenkin löysivät ratkaisun.

"Vaikka Biddle kieltää rakentamisen takaovesta, hänen tiiminsä työskenteli FBI: n kanssa opettaakseen heille, miten he voisivat hakea tietoja, mukaan lukien kohdistaminen käyttäjien varmuuskopiointisavaimille", Paoli selitti.

Entä TrueCrypt?

Pöly melkein laskeutui Microsoftin BitLockerin ympärille. Sitten, toukokuussa 2014, salainen TrueCrypt-kehitysryhmä järkytti salaustekniikan maailmaa ilmoittaen, että TrueCrypt, johtava avoimen lähdekoodin salausohjelmisto, ei ollut enää käytettävissä. Kaikki yritykset päästä TrueCrypt-verkkosivustoon ohjattiin tälle SourceForge.net-verkkosivulle, jolla oli seuraava varoitus:

Jo ennen Snowdenin julkaisua tämäntyyppinen ilmoitus olisi järkyttänyt niitä, jotka luottavat TrueCrypt-tietokantaan tietosuojaansa varten. Lisää kyseenalaisia ​​salauskäytäntöjä, ja shokki muuttuu vakavaksi angstiksi. Lisäksi TrueCryptia tukeneet avoimen lähdekoodin edustajat kohtaavat nyt tosiasian, että TrueCrypt-kehittäjät suosittelevat kaikkia käyttämään Microsoftin omistamaa BitLockeria.

Sanomattakin on selvää, että salaliiton teoreetikoilla on ollut kenttäpäivä tämän kanssa. Päätöksen taustalla on monia erilaisia ​​mielipiteitä. Aluksi asiantuntijat, kuten Dan Goodin ja Brian Krebs, pitivät verkkosivustoa hakkeroituneena, mutta joidenkin tarkistusten jälkeen molemmat hylkäsivät sen.

Kaksi suosittua teoriaa, jotka vastaavat tätä keskustelua:

• Microsoft osti TrueCryptin kilpailun poistamiseksi (BitLocker-siirtosuunnat vauhdittivat tätä teoriaa).
• Hallituksen painostus pakotti TrueCrypt-kehittäjät sulkemaan verkkosivuston (samanlainen kuin mitä tapahtui Lavabitille).

Epäily on nyt kaikissa salausmuodoissa yksinkertaisesti siksi, että kukaan ei tiedä, kuinka valtion virastot osallistuvat salauksen kehittäjiin. Syyskuussa 2013 päivätyssä blogiviestissä maailmankuulu turvallisuusasiantuntija Bruce Schneier sanoi: "Uudet Snowden-paljastukset ovat räjähtäviä. Pohjimmiltaan NSA pystyy salaamaan suurimman osan Internetistä. He tekevät sen pääasiassa huijaamalla, ei matematiikka. Muista tämä: Matematiikka on hyvää, mutta matematiikalla ei ole agenttia. Koodilla on agentti, ja koodi on alistettu. "

Tämä uskomuksen puute säännöstöön jatkuu edelleen. Se, että salakirjoittajat tarkistavat TrueCryptin (IsTrueCryptAuditedYet), on erinomainen esimerkki epävarmuudesta, joka jatkuu.

Mitä voimme luottaa?

Sekä Edward Snowden että Bruce Schneier ovat molemmat sanoneet, että salaus on edelleen paras ratkaisu pitämällä uteliaiden silmät poissa arkaluonteisista henkilökohtaisista ja yritystiedoista.

Snowden sanoi SXSW-haastattelussaan ACLU: n pääteknologin Christopher Soghoianin ja myös ACLU: n Ben Wiznerin kanssa: "Tärkeintä on, että salaus toimii. Meidän ei pidä ajatella salausta salamaisena, tummana taiteena, vaan perussuojauksena. digitaalimaailmalle. "

Snowden tarjosi sitten henkilökohtaisen esimerkin. NSA on pyrkinyt selvittämään, mistä asiakirjoista hän vuotaa, mutta heillä ei ole aavistustakaan yksinkertaisesti siksi, että he eivät pysty salaamaan hänen tiedostojaan. Bruce Schneier on myös salassa. Silti Schneier karkaisti tukensa varoituksella.

"NSA: n suljetun lähdekoodin ohjelmistoja on helpompi takaoven avata kuin avoimen lähdekoodin ohjelmistoja. Pääsalaisuuksiin luottavat järjestelmät ovat alttiita NSA: lle joko laillisin tai salaisemmin keinoin", hän sanoi.

Hieman ironisena, Schneierin kommentti tehtiin myös ennen TrueCryptin sulkemista ja ennen kuin TrueCrypt-kehittäjät alkoivat ehdottaa, että ihmiset käyttävät BitLockeria. Ironista: TrueCrypt on avoin lähdekoodi, kun taas BitLocker on suljettu lähde.