Huis Veiligheid Het vertrouwen op codering is nu een stuk moeilijker

Het vertrouwen op codering is nu een stuk moeilijker

Inhoudsopgave:

Anonim

In mei 2013 begon Edward Snowden aan zijn waterscheiding van documenten die onze perceptie van gecodeerde digitale communicatie zou verstoren. Beveiligingsexperts, mensen die vertrouwen op codering, en zelfs de makers van coderingstoepassingen zelf hebben nu de problemen dat het onmogelijk kan zijn om de codering opnieuw te vertrouwen.

Wat is niet te vertrouwen?

Het is een ingewikkeld probleem, vooral omdat het lijkt dat wiskunde achter codering nog steeds solide is. Wat het afgelopen jaar in twijfel is getrokken, is hoe codering is geïmplementeerd. Organisaties, zoals het National Institute of Standards and Testing (NIST) en Microsoft, zitten in de hot seat voor vermeende compromittering van coderingsstandaarden en samenwerking met overheidsinstanties.


In november 2013 bracht Snowden documenten uit die NIST ervan beschuldigden zijn coderingsalgoritme te verzwakken, waardoor andere overheidsinstanties toezicht konden uitoefenen. Na beschuldiging nam NIST stappen om zichzelf te rechtvaardigen. Volgens Donna Dodson, de belangrijkste cybersecurity-adviseur van NIST in deze blog, "hebben nieuwsberichten over gelekte gerubriceerde documenten de cryptografische gemeenschap bezorgdheid bezorgd over de beveiliging van cryptografische normen en richtlijnen van NIST. NIST maakt zich ook grote zorgen over deze rapporten, waarvan sommige twijfelde aan de integriteit van het NIST-normenontwikkelingsproces. "


NIST maakt zich terecht zorgen - geen vertrouwen in de cryptografische experts van de wereld zou de basis van het internet doen schokken. NIST heeft zijn blog op 22 april 2014 bijgewerkt en openbare opmerkingen toegevoegd die zijn ontvangen op NISTIR 7977: NIST Cryptographic Standards en richtlijnen voor het ontwikkelingsproces, commentaar van experts die de norm hebben bestudeerd. Hopelijk kunnen NIST en de cryptografische gemeenschap tot een aangename oplossing komen.


Wat er gebeurde met de gigantische softwareprovider Microsoft was een beetje vager. Volgens Redmond Magazine hebben zowel de FBI als de NSA Microsoft gevraagd een backdoor in te bouwen voor BitLocker, het drive-encryptie-programma van het bedrijf. Chris Paoli, auteur van het artikel, interviewde Peter Biddle, hoofd van het BitLocker-team, die zei dat Microsoft door de bureaus in een ongemakkelijke positie werd geplaatst. Ze hebben echter een oplossing gevonden.


"Terwijl Biddle het bouwen in een achterdeur ontkent, werkte zijn team samen met de FBI om hen te leren hoe ze gegevens konden ophalen, inclusief het targeten van de back-upcoderingssleutels van gebruikers, " legde Paoli uit.

Hoe zit het met TrueCrypt?

Het stof nestelde zich bijna rond BitLocker van Microsoft. Toen, in mei 2014, schokte het geheime TrueCrypt-ontwikkelingsteam de cryptografiewereld en kondigde aan dat TrueCrypt, de belangrijkste open-source coderingssoftware, niet langer beschikbaar was. Elke poging om naar de TrueCrypt-website te gaan, werd omgeleid naar deze SourceForge.net-webpagina met de volgende waarschuwing:



Zelfs vóór de release van het Snowden-document zou dit soort aankondiging geschokt zijn voor degenen die op TrueCrypt vertrouwen om hun gegevens te beschermen. Voeg twijfelachtige versleutelingsmethoden toe en de schok verandert in ernstige angst. Plus, open-source advocaten die TrueCrypt steunden, zien nu het feit onder ogen dat TrueCrypt-ontwikkelaars aanbevelen dat iedereen de eigen BitLocker van Microsoft gebruikt.


Onnodig te zeggen dat de samenzweringstheoretici hiermee een velddag hebben gehad. Er zijn veel verschillende meningen over de redenen achter de beslissing. Aanvankelijk dachten experts zoals Dan Goodin en Brian Krebs dat de website was gehackt, maar na enige controle hebben beide dat idee verworpen.


Twee populaire theorieën die zich aansluiten bij deze discussie:

  • Microsoft kocht TrueCrypt om de concurrentie uit te schakelen (BitLocker-migratierichtingen voedden deze theorie).
  • Druk van de overheid dwong de ontwikkelaars van TrueCrypt om de website te sluiten (vergelijkbaar met wat er met Lavabit is gebeurd).
Verdenking wordt nu gewekt bij alle vormen van encryptie, simpelweg omdat niemand weet hoe betrokken overheidsinstanties zijn bij encryptie-ontwikkelaars. In een blogpost van september 2013 zei Bruce Schneier, wereldberoemd beveiligingsexpert: "De nieuwe onthullingen van Snowden zijn explosief. Kortom, de NSA kan het grootste deel van internet ontsleutelen. Ze doen dit vooral door vals te spelen, niet door wiskunde. Onthoud dit: de wiskunde is goed, maar wiskunde heeft geen agentschap. Code heeft agentschap, en de code is ondermijnd. "


Dat gebrek aan vertrouwen in de code blijft vandaag bestaan. Het feit dat cryptografen TrueCrypt (IsTrueCryptAuditedYet) intensief beoordelen, is een goed voorbeeld van de onzekerheid die blijft bestaan.

Waar kunnen we op vertrouwen?

Zowel Edward Snowden als Bruce Schneier hebben beiden gezegd dat codering nog steeds de beste oplossing is om nieuwsgierige blikken weg te houden van gevoelige persoonlijke en bedrijfsinformatie.


Snowden zei tijdens zijn SXSW-interview met ACLU-hoofdtechnoloog Christopher Soghoian en Ben Wizner van de ACLU: "Het komt erop neer dat codering werkt. We moeten codering niet beschouwen als een geheimzinnige, donkere kunst, maar als basisbescherming voor de digitale wereld. "


Snowden bood vervolgens een persoonlijk voorbeeld. De NSA heeft hard gewerkt om erachter te komen welke documenten hij heeft gelekt, maar ze hebben geen idee, simpelweg omdat ze zijn bestanden niet kunnen decoderen. Bruce Schneier is ook helemaal in als het gaat om encryptie. Toch tempeerde Schneier zijn steun met een waarschuwing.


"Gesloten-source software is gemakkelijker voor de NSA om backdoor te gaan dan open-source software. Systemen die vertrouwen op meestergeheimen zijn kwetsbaar voor de NSA, hetzij door legale of meer clandestiene middelen, " zei hij.


In een beetje ironie werd de opmerking van Schneier ook gemaakt voordat TrueCrypt werd afgesloten en voordat TrueCrypt-ontwikkelaars begonnen te suggereren dat mensen BitLocker gebruiken. De ironie: TrueCrypt is open source, terwijl BitLocker een gesloten source is.

Het vertrouwen op codering is nu een stuk moeilijker