Bahay Seguridad Ang pagtitiwala sa pag-encrypt ay nakuha lamang ng mas mahirap

Ang pagtitiwala sa pag-encrypt ay nakuha lamang ng mas mahirap

Talaan ng mga Nilalaman:

Anonim

Noong Mayo 2013, sinimulan ni Edward Snowden ang kanyang paglabas ng dokumento ng tubig na makakasigla sa aming pang-unawa sa mga naka-encrypt na komunikasyon sa digital. Ang mga eksperto sa seguridad, mga taong umaasa sa pag-encrypt, at maging ang mga tagalikha ng mga aplikasyon ng pag-encrypt mismo ay naguguluhan ngayon na imposible na muling magtiwala muli sa pag-encrypt.

Ano ang Hindi Tiwala?

Ito ay isang kumplikadong isyu, lalo na dahil lumilitaw na ang matematika sa likod ng pag-encrypt ay solid pa rin. Ang tinawag na tanong sa nakaraang taon ay kung paano ipinatupad ang pag-encrypt. Ang mga samahan, tulad ng National Institute of Standards and Testing (NIST) at Microsoft, ay nasa mainit na upuan dahil sa diumano’y pagkompromiso sa mga pamantayan sa pag-encrypt at pakikipagtunggali sa mga ahensya ng gobyerno.


Noong Nobyembre 2013, inilabas ni Snowden ang mga dokumento na inakusahan ng NIST na humina ang algorithm ng pag-encrypt, na pinahihintulutan ang iba pang mga ahensya ng gobyerno na magsagawa ng pagsubaybay. Nang inakusahan, gumawa ng mga hakbang si NIST upang mapatunayan ang sarili. Ayon kay Donna Dodson, pinuno ng cybersecurity ng tagapayo ng NIST sa blog na ito, "ang mga ulat ng balita tungkol sa mga leaked classified na dokumento ay nagdulot ng pag-aalala mula sa pamayanang kriptiko tungkol sa seguridad ng mga pamantayan at mga alituntunin ng NIST ng kriptiko. Ang NIST ay labis ding nababahala sa mga ulat na ito, ang ilan sa mga ito ay Kinuwestiyon ang integridad ng proseso ng pag-unlad ng pamantayan ng NIST. "


Nararapat na nababahala ang NIST - hindi pagkakaroon ng tiwala ng mga dalubhasa sa cryptographic sa mundo na magkakalog ng pundasyon ng Internet. Na-update ng NIST ang blog nito noong Abril 22, 2014, na nagdaragdag ng Mga Komento sa Publiko Natanggap sa NISTIR 7977: Mga Pamantayan sa Pag-unlad ng Cryptographic at Proseso ng Pag-unlad, komentaryo mula sa mga eksperto na nag-aral ng pamantayan. Inaasahan, ang NIST at ang komunidad ng cryptographic ay maaaring dumating sa isang kanais-nais na solusyon.


Ang nangyari sa higanteng software provider na Microsoft ay medyo mas malabo. Ayon kay Redmond Magazine, ang FBI at NSA ay nagtanong sa Microsoft na magtayo sa isang backdoor sa BitLocker, ang programa ng drive-encryption ng kumpanya. Si Chris Paoli, ang may-akda ng artikulo, ay nakapanayam kay Peter Biddle, pinuno ng pangkat ng BitLocker, na nagbanggit ng Microsoft ay inilagay sa isang awkward na posisyon ng mga ahensya. Gayunpaman, nakakita sila ng isang solusyon.


"Habang tinatanggihan ni Biddle ang gusali sa isang backdoor, ang kanyang koponan ay nagtatrabaho sa FBI upang magturo sa kanila kung paano nila makukuha ang data, kasama ang pag-target sa backup na mga susi ng mga gumagamit, " paliwanag ni Paoli.

Ano ang Tungkol sa TrueCrypt?

Halos nalagay ang alikabok sa paligid ng BitLocker ng Microsoft. Pagkatapos, noong Mayo 2014, ang lihim na koponan ng pag-unlad ng TrueCrypt ay nagulat sa mundo ng kriptograpiya, na inihayag na ang TrueCrypt, ang nangungunang bukas na mapagkukunan ng pag-encrypt na software, ay hindi na magagamit. Ang anumang pagtatangka na makarating sa TrueCrypt website ay nai-redirect sa this page na SourceForge.net na nagpapakita ng sumusunod na babala:



Bago pa man mailabas ang dokumento ng Snowden, ang ganitong uri ng anunsyo ay mabigla sa mga umaasa sa TrueCrypt upang maprotektahan ang kanilang data. Idagdag sa mga kaduda-dudang pag-encrypt na mga kasanayan, at ang pagkabigla ay nagiging malubhang kaba. Dagdag pa, ang mga tagapagtaguyod ng bukas na mapagkukunan na sumusuporta sa TrueCrypt ngayon ay nahaharap sa katotohanan na ang mga developer ng TrueCrypt ay inirerekomenda na gamitin ng bawat isa ang proprietary BitLocker ng Microsoft.


Hindi na kailangang sabihin, ang mga teorista ng pagsasabwatan ay nagkaroon ng araw sa bukid kasama nito. Maraming iba't ibang mga opinyon tungkol sa mga kadahilanan sa likod ng desisyon. Sa una, inisip ng mga eksperto tulad nina Dan Goodin at Brian Krebs na ang website ay na-hack, ngunit pagkatapos ng ilang pagsuri ay parehong tinanggal ang paniwala na iyon.


Dalawang tanyag na teorya na nakahanay sa kanilang talakayan:

  • Binili ng Microsoft ang TrueCrypt upang maalis ang kumpetisyon (ang mga direksyon sa paglilipat ng BitLocker ay nagpahid sa teoryang ito)
  • Pinilit ng presyon ng pamahalaan ang mga developer ng TrueCrypt na isara ang website (katulad ng nangyari sa Lavabit).
Ang pagdududa ngayon ay inihahatid sa lahat ng mga anyo ng pag-encrypt dahil lamang walang nakakaalam kung paano kasangkot ang mga kasangkot na ahensya ng gobyerno sa mga nag-develop ng encryption. Sa isang post sa blog ng Setyembre 2013, si Bruce Schneier, dalubhasa sa kilalang seguridad sa mundo, ay nagsabi, "Ang mga bagong paghahayag ng Snowden ay sumasabog. Karaniwan, ang NSA ay nagawang i-decrypt ang karamihan sa Internet. Ginagawa nila ito lalo na sa pamamagitan ng pagdaraya, hindi sa pamamagitan ng matematika. Alalahanin ito: Magaling ang matematika, ngunit ang matematika ay walang ahensya. Ang Code ay may ahensya, at ang code ay naalis. "


Ang kawalan ng pananampalataya sa code ay nagpapatuloy ngayon. Ang katotohanan na ang mga cryptographers ay nagsasagawa ng isang matinding pagsusuri sa TrueCrypt (IsTrueCryptAuditedYet) ay isang pangunahing halimbawa ng kawalan ng katiyakan na patuloy na umiiral.

Ano ang Mapagkakatiwalaan natin?

Parehong sina Edward Snowden at Bruce Schneier ay parehong nagsabi na ang pag-encrypt ay pa rin ang pinakamahusay na solusyon sa pag-iingat ng mga mata sa malayo mula sa sensitibong impormasyon sa personal at kumpanya.


Si Snowden, sa kanyang panayam ng SXSW kay ACLU principal technologist na sina Christopher Soghoian at Ben Wizner, din ng ACLU, "Ang nasa ilalim na linya ay ang pag-encrypt ay gumagana. Hindi natin kailangang isipin ang pag-encrypt bilang isang arcane, madilim na sining, ngunit bilang pangunahing proteksyon. para sa digital na mundo. "


Nag-alok si Snowden ng isang personal na halimbawa. Ang NSA ay nagsusumikap upang malaman kung ano ang mga dokumento na siya ay tumagas, ngunit wala silang ideya, dahil lamang sa hindi nila mai-decrypt ang kanyang mga file. Si Bruce Schneier ay nasa lahat din pagdating sa pag-encrypt. Gayunpaman, inalis ni Schneier ang kanyang suporta sa isang babala.


"Ang closed-source software ay mas madali para sa NSA sa backdoor kaysa sa open-source software. Ang mga system na umaasa sa mga master secret ay mahina sa NSA, sa pamamagitan ng alinman sa ligal o higit pang paraan ng clandestine, " aniya.


Sa kaunting kabuluhan, ang puna ni Schneier ay ginawa rin bago pa maisara ang TrueCrypt, at bago nagsimula ang mga developer ng TrueCrypt na gumamit ng mga tao ng BitLocker. Ang kabalintunaan: TrueCrypt ay bukas na mapagkukunan, samantalang ang BitLocker ay sarado na pinagmulan.

Ang pagtitiwala sa pag-encrypt ay nakuha lamang ng mas mahirap