Casa Seguretat Confiar en el xifratge era molt més difícil

Confiar en el xifratge era molt més difícil

Taula de continguts:

Anonim

Al maig de 2013, Edward Snowden va iniciar el seu llançament de documents en la conca que sacsejaria la nostra percepció de comunicacions digitals xifrades. Els experts en seguretat, les persones que confien en el xifratge, i fins i tot els mateixos creadors d’aplicacions de xifratge ara es preocupen perquè pot ser impossible tornar a confiar en el xifratge.

Què no és de confiar?

És un problema complicat, sobretot perquè sembla que les matemàtiques darrere del xifratge encara són sòlides. El que s’ha posat en dubte durant l’últim any és com s’ha implementat el xifrat. Organitzacions, com el National Institute of Standards and Testing (NIST) i Microsoft, es troben a la seu calenta per suposadament comprometre els estàndards de xifratge i col·lidir amb agències governamentals.


Al novembre de 2013, va publicar documents publicats per Snowden que acusaven NIST de debilitar el seu algorisme de xifratge i va permetre que altres agències governamentals realitzessin vigilància. En ser acusat, NIST va prendre mesures per reivindicar-se. Segons Donna Dodson, consellera principal en ciberseguretat de NIST en aquest bloc, "els informes sobre documents classificats filtrats han causat preocupació per part de la comunitat criptogràfica sobre la seguretat dels estàndards i directrius criptogràfics NIST. NIST també està profundament preocupat per aquests informes, alguns dels quals tenen va posar en dubte la integritat del procés de desenvolupament de normes NIST. "


NIST es preocupa amb raó: no tenir la confiança dels experts criptogràfics del món sacsejaria els fonaments d'Internet. NIST va actualitzar el seu blog el 22 d’abril de 2014, i va afegir comentaris públics rebuts sobre NISTIR 7977: NIST Cryptographic Standards and Guidelines Development Process, comentari d’experts que van estudiar l’estàndard. Tant de bo, NIST i la comunitat criptogràfica arribin a una solució agradable.


El que va passar amb el gegant proveïdor de programari Microsoft va ser una mica més nebulós. Segons la revista Redmond, tant el FBI com la NSA van demanar a Microsoft que construís en una porta posterior a BitLocker, el programa de xifrat de les unitats de la companyia. Chris Paoli, autor de l’article, va entrevistar Peter Biddle, cap de l’equip de BitLocker, que va mencionar que Microsoft va quedar en una posició incòmoda per part de les agències. Tot i això, van trobar una solució.


"Si bé Biddle nega que es construís en una porta del darrere, el seu equip va treballar amb l'FBI per ensenyar-los com podrien recuperar dades, inclòs l'orientació de les claus de xifratge de còpia de seguretat dels usuaris", va explicar Paoli.

Què hi ha de TrueCrypt?

La pols gairebé es va instal·lar al voltant de BitLocker de Microsoft. Al maig de 2014, el secretari equip de desenvolupament TrueCrypt va commocionar el món de la criptografia i va anunciar que TrueCrypt, el principal programari de xifratge de codi obert, ja no estava disponible. Qualsevol intent d’arribar al lloc web de TrueCrypt es va dirigir a la pàgina web de SourceForge.net que mostrava l’avís següent:



Fins i tot abans del llançament del document Snowden, aquest tipus d’anuncis hauria impactat els que confien en TrueCrypt per protegir les seves dades. Afegiu pràctiques de xifratge qüestionables i el xoc es converteix en molèstia greu. A més, els defensors de codi obert que han donat suport a TrueCrypt ara s’enfronten al fet que els desenvolupadors de TrueCrypt recomanen que tothom utilitzi BitLocker propietari de Microsoft.


No cal dir que els teòrics de la conspiració han tingut un dia de camp amb això. Hi ha moltes opinions diferents sobre els motius de la decisió. Al principi, experts com Dan Goodin i Brian Krebs van pensar que el lloc web havia estat piratejat, però després de comprovar tots dos van rebutjar aquesta noció.


Dues teories populars que s’alineen amb aquesta discussió:

  • Microsoft va comprar TrueCrypt per eliminar la competència (les indicacions de migració de BitLocker van impulsar aquesta teoria).
  • La pressió del govern va obligar els desenvolupadors de TrueCrypt a tancar el lloc web (similar al que va passar a Lavabit).
Ara se sospita tota forma de xifratge simplement perquè ningú sap quina implicació tenen les agències governamentals amb els desenvolupadors de xifratge. En un missatge al setembre de 2013, Bruce Schneier, expert mundialment reconegut en seguretat, va dir: "Les noves revelacions de Snowden són explosives. Bàsicament, l'ANS és capaç de desxifrar la major part d'Internet. Ho fan principalment fent trampes, no per Recorda això: les matemàtiques són bones, però les matemàtiques no tenen agència. El codi té agència i el codi ha estat subvertit. "


Aquesta manca de fe en el codi continua avui. El fet que els criptògrafs realitzin una revisió intensa de TrueCrypt (IsTrueCryptAuditedYet) és un exemple principal de la incertesa que continua existint.

En què podem confiar?

Tant Edward Snowden com Bruce Schneier han afirmat que el xifratge continua sent la millor solució per mantenir els ulls indisposats lluny de la informació personal i de la companyia sensible.


Snowden, durant la seva entrevista a SXSW amb Christopher Soghoian i Ben Wizner, tecnòleg principal de l'ACLU, també de l'ACLU, va dir: "La conclusió és que el xifrat funciona. No hem de pensar en el xifrat com un art arcà i fosc, però com a protecció bàsica. pel món digital. "


Snowden va oferir un exemple personal. La NSA ha estat treballant dur per esbrinar quins documents va filtrar, però no en tenen ni idea, simplement perquè no són capaços de desxifrar els seus fitxers. Bruce Schneier també és interessant quan es tracta de xifrar. Tot i així, Schneier va temperar el seu suport amb un advertiment.


"El NSA és més fàcil per a l'anterior a la NSA que els programes de codi obert. Els sistemes que es basen en secrets mestres són vulnerables a l'ANS, a través de mitjans legals o més clandestins", va dir.


Amb una mica d’ironia, el comentari de Schneier també es va avançar abans que s’obtingués TrueCrypt i abans que els desenvolupadors de TrueCrypt comencessin a suggerir que les persones utilitzessin BitLocker. La ironia: TrueCrypt és de codi obert, mentre que BitLocker és de codi tancat.

Confiar en el xifratge era molt més difícil