Tillid til kryptering blev lige meget hårdere

I maj 2013 begyndte Edward Snowden sin frigivelse af dokumentfrigivelse, der ville ryste vores opfattelse af krypteret digital kommunikation. Sikkerhedseksperter, folk, der er afhængige af kryptering, og endda skabere af krypteringsapplikationer selv, er nu bekymrede over, at det måske er umuligt at stole på kryptering igen.

Hvad skal man ikke stole på?

Det er et kompliceret problem, især fordi det ser ud til, at matematik bag kryptering stadig er solid. Det, der er blevet drøftet i det seneste år, er, hvordan kryptering er blevet implementeret. Organisationer, såsom National Institute of Standards and Testing (NIST) og Microsoft, er i det varme sæde for påstået at kompromittere krypteringsstandarder og samarbejde med myndigheder.

I november 2013 frigav Snowden-dokumenter, der beskyldte NIST for at have svækket sin krypteringsalgoritme og tilladt andre myndigheder at udføre overvågning. Efter at være blevet anklaget, tog NIST skridt til at retfærdiggøre sig selv. Ifølge Donna Dodson, NISTs vigtigste cybersecurity-rådgiver i denne blog, "har nyhedsberetninger om lækkede klassificerede dokumenter skabt bekymring fra det kryptografiske samfund om sikkerheden ved NIST-kryptografiske standarder og retningslinjer. NIST er også dybt bekymret over disse rapporter, hvoraf nogle har satte spørgsmålstegn ved integriteten i udviklingsprocessen for NIST-standarder. "

NIST er med rette bekymret - ikke at have tillid fra verdens kryptografiske eksperter ville ryste Internets fundament. NIST opdaterede sin blog den 22. april 2014 og tilføjede offentlige kommentarer modtaget på NISTIR 7977: NIST Kryptografiske standarder og retningslinjer Udviklingsproces, kommentar fra eksperter, der studerede standarden. Forhåbentlig kan NIST og det kryptografiske samfund komme til en behagelig løsning.

Hvad der skete med den gigantiske softwareleverandør Microsoft var lidt mere tåbelig. Ifølge Redmond Magazine bad både FBI og NSA Microsoft om at bygge en bagdør til BitLocker, virksomhedens drevkrypteringsprogram. Chris Paoli, forfatteren af ​​artiklen, interviewede Peter Biddle, leder af BitLocker-teamet, der nævnte, at Microsoft blev placeret i en akavet position af agenturerne. De fandt imidlertid en løsning.

”Mens Biddle benægter at opføre sig i en bagdør, arbejdede hans team med FBI for at lære dem, hvordan de kunne hente data, herunder målretning af brugernes backupkrypteringsnøgler, ” forklarede Paoli.

Hvad med TrueCrypt?

Støvet satte sig næsten omkring Microsofts BitLocker. Derefter chokerede det hemmeligholdte TrueCrypt-udviklingshold i maj 2014 kryptografiverdenen og meddelte, at TrueCrypt, den førende open source-krypteringssoftware, ikke længere var tilgængelig. Ethvert forsøg på at komme til TrueCrypt-webstedet blev omdirigeret til denne SourceForge.net-webside, der viste følgende advarsel:

Allerede før Snowden-dokumentudgivelsen ville denne type meddelelse have chokeret dem, der er afhængige af TrueCrypt for at beskytte deres data. Tilføj tvivlsomme krypteringspraksis, og chokket bliver til alvorlig angst. Plus, open source-fortalere, der støttede TrueCrypt, står nu overfor det faktum, at TrueCrypt-udviklere anbefaler, at alle bruger Microsofts proprietære BitLocker.

Naturligvis har konspirationsteoretikerne haft en feltdag med dette. Der er mange forskellige meninger om årsagerne til beslutningen. Først troede eksperter som Dan Goodin og Brian Krebs, at webstedet var blevet hacket, men efter en vis kontrol afviste begge denne opfattelse.

To populære teorier, der samler sig med denne diskussion:

• Microsoft købte TrueCrypt for at eliminere konkurrencen (BitLocker-migreringsvejledninger fremkaldte denne teori).
• Regeringens pres tvang TrueCrypt's udviklere til at lukke webstedet (svarende til hvad der skete med Lavabit).

Der er nu mistanke om alle former for kryptering, simpelthen fordi ingen ved, hvor involverede offentlige agenturer er med krypteringsudviklere. I et blogindlæg i september 2013 sagde Bruce Schneier, den verdenskendte sikkerhedsekspert, "De nye Snowden-afsløringer er eksplosive. Grundlæggende er NSA i stand til at dekryptere det meste af internettet. De gør det primært ved snyderi, ikke af matematik. Husk dette: Matematikken er god, men matematik har intet agentur. Koden har agentur, og koden er blevet undergravet. "

Den manglende tillid til koden fortsætter i dag. Det faktum, at kryptografer udfører en intens gennemgang af TrueCrypt (IsTrueCryptAuditedYet) er et godt eksempel på den usikkerhed, der fortsat eksisterer.

Hvad kan vi stole på?

Både Edward Snowden og Bruce Schneier har begge sagt, at kryptering stadig er den bedste løsning til at holde nysgerrige øjne væk fra følsomme personlige oplysninger og virksomhedsoplysninger.

Snowden under sit SXSW-interview med ACLUs hovedteknolog Christopher Soghoian og Ben Wizner, også fra ACLU, sagde: "Det vigtigste er, at kryptering fungerer. Vi behøver ikke at tænke på kryptering som en arkansk, mørk kunst, men som grundlæggende beskyttelse for den digitale verden. "

Snowden bød derefter et personligt eksempel. NSA har arbejdet hårdt på at finde ud af, hvilke dokumenter han lækkede, men de har ingen idé, simpelthen fordi de ikke er i stand til at dekryptere hans filer. Bruce Schneier er også alt sammen når det kommer til kryptering. Alligevel tempererede Schneier sin støtte med en advarsel.

"Software med lukket kilde er lettere for NSA at bagdør end open source-software. Systemer, der er afhængige af masterhemmeligheder, er sårbare over for NSA, enten gennem lovlige eller mere hemmelige midler, " sagde han.

I en smule ironi blev Schneiers kommentar også gjort plads, før TrueCrypt blev lukket, og inden TrueCrypt-udviklere begyndte at antyde, at folk bruger BitLocker. Ironien: TrueCrypt er open source, mens BitLocker er lukket kilde.