Casa Sicurezza Fidarsi della crittografia è diventato molto più difficile

Fidarsi della crittografia è diventato molto più difficile

Sommario:

Anonim

Nel maggio 2013, Edward Snowden ha iniziato il suo rilascio del documento spartiacque che avrebbe scosso la nostra percezione delle comunicazioni digitali crittografate. Gli esperti di sicurezza, le persone che fanno affidamento sulla crittografia e persino i creatori delle stesse applicazioni di crittografia sono ora preoccupati che potrebbe essere impossibile fidarsi di nuovo della crittografia.

Cosa non fidarsi?

È un problema complicato, soprattutto perché sembra che la matematica dietro la crittografia sia ancora solida. Ciò che è stato messo in discussione nell'ultimo anno è come è stata implementata la crittografia. Organizzazioni, come il National Institute of Standards and Testing (NIST) e Microsoft, sono in una posizione privilegiata per presumibilmente compromettere gli standard di crittografia e colludere con le agenzie governative.


Nel novembre 2013, Snowden ha rilasciato documenti che accusavano il NIST di indebolire il suo algoritmo di crittografia, consentendo ad altre agenzie governative di effettuare la sorveglianza. Dopo essere stato accusato, il NIST ha preso provvedimenti per rivendicare se stesso. Secondo Donna Dodson, capo consigliere per la cibersicurezza di NIST in questo blog, "le notizie su documenti classificati trapelati hanno destato preoccupazione dalla comunità crittografica sulla sicurezza degli standard e delle linee guida crittografiche del NIST. Anche il NIST è profondamente preoccupato da questi rapporti, alcuni dei quali hanno ha messo in dubbio l'integrità del processo di sviluppo degli standard NIST ".


Il NIST è giustamente preoccupato: non avere la fiducia degli esperti crittografici del mondo scuoterebbe le fondamenta di Internet. NIST ha aggiornato il suo blog il 22 aprile 2014, aggiungendo commenti pubblici ricevuti su NISTIR 7977: processo di sviluppo di standard e linee guida crittografici NIST, commento di esperti che hanno studiato lo standard. Speriamo che NIST e la comunità crittografica possano giungere a una soluzione piacevole.


Quello che è successo con il gigantesco fornitore di software Microsoft è stato un po 'più nebuloso. Secondo Redmond Magazine, sia l'FBI che l'NSA hanno chiesto a Microsoft di creare una backdoor per BitLocker, il programma di crittografia dell'unità. Chris Paoli, autore dell'articolo, ha intervistato Peter Biddle, capo del team BitLocker, che ha affermato che Microsoft è stata messa in una posizione scomoda dalle agenzie. Tuttavia, hanno trovato una soluzione.


"Mentre Biddle nega la costruzione di una backdoor, il suo team ha lavorato con l'FBI per insegnare loro come potevano recuperare i dati, incluso il targeting delle chiavi di crittografia di backup degli utenti", ha spiegato Paoli.

Che dire di TrueCrypt?

La polvere si è quasi depositata attorno al BitLocker di Microsoft. Quindi, a maggio 2014, il team di sviluppo segreto di TrueCrypt ha scioccato il mondo della crittografia, annunciando che TrueCrypt, il principale software di crittografia open source, non era più disponibile. Qualsiasi tentativo di accedere al sito Web TrueCrypt veniva reindirizzato a questa pagina Web SourceForge.net che visualizzava il seguente avviso:



Anche prima del rilascio del documento Snowden, questo tipo di annuncio avrebbe scioccato coloro che si affidano a TrueCrypt per proteggere i propri dati. Aggiungi pratiche di crittografia discutibili e lo shock si trasforma in grave angoscia. Inoltre, i sostenitori dell'open source che hanno supportato TrueCrypt ora affrontano il fatto che gli sviluppatori TrueCrypt raccomandano a tutti di usare BitLocker proprietario di Microsoft.


Inutile dire che i teorici della cospirazione hanno avuto una giornata campale con questo. Esistono molte opinioni diverse sui motivi alla base della decisione. Inizialmente, esperti come Dan Goodin e Brian Krebs pensavano che il sito Web fosse stato violato, ma dopo aver controllato entrambi entrambi respinsero questa idea.


Due teorie popolari che si allineano a questa discussione:

  • Microsoft ha acquistato TrueCrypt per eliminare la concorrenza (le direzioni di migrazione di BitLocker hanno alimentato questa teoria).
  • Le pressioni del governo hanno costretto gli sviluppatori di TrueCrypt a chiudere il sito Web (simile a quello che è successo a Lavabit).
Il sospetto è ora rivolto a tutte le forme di crittografia semplicemente perché nessuno sa quanto siano coinvolte le agenzie governative con gli sviluppatori di crittografia. In un post sul blog di settembre 2013, Bruce Schneier, esperto di sicurezza di fama mondiale, ha dichiarato: "Le nuove rivelazioni di Snowden sono esplosive. Fondamentalmente, la NSA è in grado di decifrare la maggior parte di Internet. Lo stanno facendo principalmente ingannando, non matematica. Ricorda questo: la matematica è buona, ma la matematica non ha agenzia. Il codice ha agenzia e il codice è stato sovvertito ".


Quella mancanza di fiducia nel codice continua ancora oggi. Il fatto che i crittografi stiano eseguendo un'intensa revisione di TrueCrypt (IsTrueCryptAuditedYet) è un ottimo esempio dell'incertezza che continua ad esistere.

Cosa possiamo fidarci?

Sia Edward Snowden che Bruce Schneier hanno entrambi affermato che la crittografia è ancora la soluzione migliore per tenere gli occhi indiscreti lontano dalle informazioni personali e aziendali sensibili.


Snowden, durante la sua intervista SXSW con il principale tecnologo ACLU Christopher Soghoian e Ben Wizner, anche dell'ACLU, ha dichiarato: "La linea di fondo è che la crittografia funziona. Non dobbiamo pensare alla crittografia come a un'arte oscura, arcana, ma come una protezione di base per il mondo digitale ".


Snowden ha quindi offerto un esempio personale. L'NSA ha lavorato duramente per capire quali documenti trapelasse, ma non ne hanno idea, semplicemente perché non sono in grado di decrittografare i suoi file. Anche Bruce Schneier è all in quando si tratta di crittografia. Tuttavia, Schneier ha temperato il suo sostegno con un avvertimento.


"Il software a codice chiuso è più semplice per l'NSA nel backdoor rispetto al software open source. I sistemi che fanno affidamento su segreti segreti sono vulnerabili all'NSA, con mezzi legali o più clandestini", ha affermato.


Con un po 'di ironia, anche il commento di Schneier è stato fatto molto prima che TrueCrypt fosse chiuso e prima che gli sviluppatori di TrueCrypt iniziassero a suggerire che le persone usassero BitLocker. L'ironia: TrueCrypt è open source, mentre BitLocker è chiuso.

Fidarsi della crittografia è diventato molto più difficile