Оглавление:
В мае 2013 года Эдвард Сноуден начал выпуск своего документа, который встряхнул бы наше восприятие зашифрованных цифровых сообщений. Эксперты по безопасности, люди, которые полагаются на шифрование, и даже сами создатели приложений шифрования теперь обеспокоены тем, что может быть невозможно снова доверять шифрованию.
Чему не доверять?
Это сложная проблема, особенно потому, что кажется, что математика зашифрования остается твердой. За последний год был поставлен вопрос о том, как реализовано шифрование. Такие организации, как Национальный институт стандартов и испытаний (NIST) и Microsoft, находятся в центре внимания якобы компрометирующих стандартов шифрования и вступают в сговоры с правительственными учреждениями.
В ноябре 2013 года Сноуден выпустил документы, в которых NIST обвиняется в ослаблении алгоритма шифрования, что позволяет другим государственным органам осуществлять наблюдение. Будучи обвиненным, NIST предпринял шаги, чтобы оправдать себя. По словам Донны Додсон, главного советника NIST по кибербезопасности в этом блоге, «новостные сообщения о просочившихся секретных документах вызвали беспокойство криптографического сообщества о безопасности криптографических стандартов и руководств NIST. NIST также глубоко обеспокоен этими сообщениями, некоторые из которых имеют подверг сомнению целостность процесса разработки стандартов NIST. "
NIST справедливо обеспокоен - отсутствие доверия мировых экспертов по криптографии поколебало бы основу Интернета. NIST обновил свой блог 22 апреля 2014 года, добавив комментарии общественности, полученные по NISTIR 7977: Процесс разработки криптографических стандартов и руководств NIST, комментарии экспертов, изучавших стандарт. Надеемся, что NIST и криптографическое сообщество могут прийти к приемлемому решению.
То, что случилось с гигантским поставщиком программного обеспечения Microsoft, было немного более туманным. Согласно журналу «Редмонд», и ФБР, и АНБ попросили Microsoft создать бэкдор для BitLocker, программы шифрования диска компании. Крис Паоли, автор статьи, взял интервью у Питера Биддла, главы команды BitLocker, который отметил, что Microsoft оказалась в неловком положении со стороны агентств. Однако они нашли решение.
«В то время как Биддл отрицает создание в бэкдоре, его команда работала с ФБР, чтобы научить их, как они могут извлекать данные, в том числе нацелены на резервные ключи шифрования пользователей», - объяснил Паоли.
Что насчет TrueCrypt?
Пыль почти осела вокруг Microsoft BitLocker. Затем, в мае 2014 года, скрытная команда разработчиков TrueCrypt потрясла мир криптографии, объявив, что TrueCrypt, ведущее программное обеспечение с открытым исходным кодом для шифрования, больше не доступно. Любая попытка попасть на сайт TrueCrypt была перенаправлена на эту веб-страницу SourceForge.net, на которой отображалось следующее предупреждение:
Даже до выпуска документа Snowden, этот тип объявления потряс бы тех, кто полагается на TrueCrypt для защиты своих данных. Добавьте сомнительные методы шифрования, и шок превращается в серьезный страх. Кроме того, сторонники открытого кода, поддержавшие TrueCrypt, теперь сталкиваются с тем, что разработчики TrueCrypt рекомендуют всем использовать проприетарный BitLocker от Microsoft.
Само собой разумеется, у теоретиков заговора был полевой день с этим. Есть много разных мнений о причинах этого решения. Сначала эксперты, такие как Дэн Гудин и Брайан Кребс, думали, что сайт был взломан, но после некоторой проверки оба опровергли это мнение.
Две популярные теории, которые присоединяются к этой дискуссии:
- Microsoft купила TrueCrypt, чтобы устранить конкуренцию (направления миграции BitLocker подпитывали эту теорию).
- Правительственное давление заставило разработчиков TrueCrypt закрыть сайт (аналогично тому, что случилось с Lavabit).
Это неверие в кодекс продолжается и сегодня. Тот факт, что криптографы проводят тщательный анализ TrueCrypt (IsTrueCryptAuditedYet), является ярким примером неопределенности, которая продолжает существовать.
Чему мы можем доверять?
И Эдвард Сноуден, и Брюс Шнайер заявили, что шифрование по-прежнему является лучшим решением для того, чтобы не спускать глаз с конфиденциальной личной и корпоративной информации.
Сноуден во время своего интервью SXSW с главным технологом ACLU Кристофером Согояном и Беном Визнером, также из ACLU, сказал: «Суть в том, что шифрование работает. Мы должны думать не о шифровании как о тайном, темном искусстве, но как о базовой защите для цифрового мира. "
Затем Сноуден предложил личный пример. АНБ прилагает все усилия, чтобы выяснить, какие документы он пропустил, но они понятия не имеют, просто потому, что не могут расшифровать его файлы. Брюс Шнайер также активно участвует в шифровании. Тем не менее, Шнайер закалил свою поддержку предупреждением.
«Программное обеспечение с закрытыми исходными кодами для АНБ легче замаскировать, чем программное обеспечение с открытым исходным кодом. Системы, основанные на главных секретах, уязвимы для АНБ либо с помощью законных, либо более тайных средств», - сказал он.
По иронии судьбы комментарий Шнайера был сделан еще до того, как TrueCrypt был закрыт, и до того, как разработчики TrueCrypt начали предлагать людям использовать BitLocker. Ирония: TrueCrypt с открытым исходным кодом, тогда как BitLocker с закрытым исходным кодом.