Доверяването на криптирането просто стана много по-трудно

През май 2013 г. Едуард Сноуден започна издаването на своя водосборен документ, който ще разклати представата ни за криптирани цифрови комуникации. Експертите по сигурността, хората, които разчитат на криптирането, и дори самите създатели на приложения за криптиране, сега са притеснени, че може да е невъзможно да се доверите отново на криптирането.

Какво не се доверява?

Това е сложен въпрос, особено защото изглежда, че математиката зад криптирането все още е солидна. Това, което беше поставено под въпрос през последната година, е как е внедрено криптирането. Организации като Националния институт за стандарти и изпитвания (NIST) и Microsoft са в горещата секция за предполагаемо компрометиране на стандартите за криптиране и сговор с правителствените агенции.

През ноември 2013 г., издадени от Snowden документи, които обвиниха NIST в отслабването на алгоритъма си за криптиране, позволявайки на други държавни агенции да извършват надзор. След като беше обвинен, NIST предприе стъпки, за да се отмъсти. Според Дона Додсън, главен съветник по киберсигурност на NIST в този блог, „новинарски съобщения за изтекли класифицирани документи предизвикаха безпокойство от криптографската общност относно сигурността на криптографските стандарти и указания на NIST. NIST също е силно загрижен от тези доклади, някои от които имат постави под въпрос целостта на процеса на разработване на стандарти NIST. "

NIST с основание е загрижен - ако доверието на световните криптографски експерти не би разклатило основата на Интернет. NIST актуализира блога си на 22 април 2014 г., добавяйки публични коментари, получени в NISTIR 7977: Процес на разработване на криптографски стандарти и указания на NIST, коментар от експерти, които са проучили стандарта. Да се ​​надяваме, че NIST и криптографската общност могат да стигнат до приемливо решение.

Това, което се случи с гигантския доставчик на софтуер Microsoft беше малко по-мъгляво. Според списание Redmond, както ФБР, така и NSA поискаха от Microsoft да изгради заден ход на BitLocker, програмата за шифроване на устройството на компанията. Крис Паоли, автор на статията, интервюира Питър Бидъл, ръководител на екипа на BitLocker, който спомена, че Microsoft е поставен в неудобно положение от агенциите. Те обаче намериха решение.

„Докато Бидъл отрича да се строи в бекдорд, неговият екип работи с ФБР, за да ги научи как те могат да извличат данни, включително насочване на ключовете за резервно шифроване на потребителите“, обясни Паоли.

Какво става с TrueCrypt?

Прахът почти се утаи около BitLocker на Microsoft. Тогава, през май 2014 г., тайният екип за разработка на TrueCrypt шокира света на криптографията, като обяви, че TrueCrypt, най-добрият софтуер за криптиране с отворен код, вече не е наличен. Всеки опит да се стигне до уебсайта TrueCrypt беше пренасочен към тази уеб страница SourceForge.net, която показва следното предупреждение:

Дори преди издаването на документа Snowden, този тип съобщения щеше да шокира онези, които разчитат на TrueCrypt, за да защитят своите данни. Добавете съмнителни практики за криптиране и шокът се превръща в сериозен гняв. Плюс това, защитниците с отворен код, които подкрепиха TrueCrypt, сега са изправени пред факта, че разработчиците на TrueCrypt препоръчват всички да използват собствения BitLocker на Microsoft.

Излишно е да казвам, че теоретиците на конспирацията са имали полеви ден с това. Има много различни мнения относно причините, които стоят зад решението. В началото експерти като Дан Гудин и Брайън Кребс смятаха, че уебсайтът е хакнат, но след като някои проверки и двамата отхвърлиха тази идея.

Две популярни теории, които се привеждат в съответствие с тази дискусия:

• Microsoft купи TrueCrypt, за да премахне конкуренцията (BitLocker направления за миграция подхранват тази теория).
• Правителственият натиск принуди разработчиците на TrueCrypt да затворят уебсайта (подобно на случилото се с Lavabit).

Подозрението вече се хвърля върху всички форми на криптиране, просто защото никой не знае как участват правителствените агенции с разработчиците на криптиране. В публикация в блог от септември 2013 г. Брус Шнайер, световноизвестният експерт по сигурността, заяви: „Новите разкрития на Snowden са експлозивни. По принцип NSA е в състояние да дешифрира голяма част от интернет. Те го правят предимно чрез измама, а не от математика. Запомнете това: Математиката е добра, но математиката няма агенция. Кодът има агенция и кодът е развален. "

Тази липса на вяра в кодекса продължава и днес. Фактът, че криптографите извършват интензивен преглед на TrueCrypt (IsTrueCryptAuditedYet), е отличен пример за несигурността, която продължава да съществува.

На какво можем да се доверим?

И Едуард Сноудън, и Брус Шнайер казаха, че криптирането все още е най-доброто решение за предпазване на любопитни очи от чувствителна лична и фирмена информация.

Snowden по време на интервюто си за SXSW с главния технолог на ACLU Кристофър Согьоян и Бен Уизнър, също от ACLU, каза: „Основното е, че криптирането върши работа. Не трябва да мислим за криптирането като за тайно, тъмно изкуство, а за основна защита за дигиталния свят. "

Тогава Snowden предложи личен пример. НСО работи усилено, за да разбере какви документи е изтекъл, но те нямат представа, просто защото не са в състояние да дешифрират досиетата му. Брус Шнайер също е готов за криптиране. Все пак Шнайер закали подкрепата си с предупреждение.

"Софтуерът със затворен код е по-лесен за NSA да работи с backdoor, отколкото софтуер с отворен код. Системите, разчитащи на главните тайни, са уязвими за NSA, чрез законни или повече тайни средства", каза той.

С малко ирония коментарът на Schneier също беше направен, преди TrueCrypt да бъде затворен и преди разработчиците на TrueCrypt да започнат да предполагат, че хората използват BitLocker. Иронията: TrueCrypt е с отворен код, докато BitLocker е затворен.