Κρυπτογραφικά Backdoors Επεξήγηση
Η κρυπτογραφία είναι μακράν ένα από τα πιο σημαντικά θέματα στην εποχή της πληροφορίας. Κάθε φορά που συνδέεστε κάπου, υπάρχει ένας αλγόριθμος κάποιας μορφής που επαληθεύει τον κωδικό πρόσβασής σας σε σχέση με μια χασμουρημένη τιμή που καθορίζει αν μπορείτε να επαληθεύσετε τον λογαριασμό σας στο λογαριασμό σας ή όχι. Είναι πώς κρατάμε τους χάκερ στον κόλπο. Λοιπόν, τι συμβαίνει όταν ο αλγόριθμος που υποτίθεται ότι θα σας κρατήσει ασφαλούς έχει ένα backdoor που επιτρέπει σε ορισμένους ανθρώπους να έχουν απεριόριστη πρόσβαση στους λογαριασμούς σας και τα προσωπικά σας αρχεία;
Στις 19 Μαΐου 2015, η Apple και η Google προέτρεψαν τον Αμερικανό πρόεδρο Μπαράκ Ομπάμα να επανεξετάσει τη δέσμευση των εταιρειών τεχνολογίας του ιδιωτικού τομέα να συμπεριλάβουν τα backdoors στους κρυπτογραφικούς αλγορίθμους τους. Στόχος μου είναι να εξηγήσω πώς αυτό μας επηρεάζει ως καταναλωτές της τεχνολογίας και των κατώτατων γραμμών των εταιρειών που μας παρέχουν την εν λόγω τεχνολογία.
Ένα μικρό κομμάτι ιστορίας: Dual_EC_DRBG
Θα μπορούσατε να συγχωρεθείτε αν ο όρος "Dual_EC_DRBG" ακούγεται σαν αστεία gibberish σε σας, αλλά είναι ίσως ένας όρος που συνδέεται με ένα από τα μεγαλύτερα σκάνδαλα στην ιστορία της τεχνολογίας κρυπτογράφησης. Η ιστορία μας ξεκινά στις αρχές της δεκαετίας του 2000, όταν η κρυπτογραφία ελλειπτικής καμπύλης άρχισε να ριζώνει στα συστήματα ηλεκτρονικών υπολογιστών. Μέχρι τότε, η δημιουργία ενός τυχαίου αριθμού ήταν ένας πόνος εξαιτίας της εγγενούς προβλεψιμότητάς του. Βλέπετε, οι άνθρωποι μπορούν να παράγουν τυχαίους αριθμούς πολύ αποτελεσματικά, αφού όλοι πιστεύουμε διαφορετικά. Μπορείτε να πείτε ποιος αριθμός μεταξύ 1 και 100.000 σκέφτομαι τώρα; Έχετε μια πιθανότητα 1: 100.000 να πάρει την απάντηση σωστά αν απλά μαντέψετε τυχαία. Αυτό δεν είναι το ίδιο με τους υπολογιστές. Είναι απολύτως φρικτό σε αυτό, καθώς βασίζονται συνήθως σε άλλες σταθερές αξίες για να φτάσουν στα "συμπεράσματά τους". Εφόσον δεν μπορούν να «σκεφτούν», πρέπει να συνθέσουμε τη διαδικασία γι 'αυτούς. Η κρυπτογραφία ελλειπτικής καμπύλης καθιστά τη διαδικασία παραγωγής ενός τυχαίου αριθμού πολύ λιγότερο προβλέψιμη από τις συμβατικές μεθόδους.
Επιστροφή στην ιστορία. Ο Οργανισμός Εθνικής Ασφάλειας (NSA) προώθησε μια ενότητα που ονομάζεται Dual_EC_DBRG ως δυνατότητα δημιουργίας αυτών των αριθμών. Δεν πέρασε.
Δεν τελειώνει όμως εκεί. Το 2004, η NSA προέβη σε διαπραγμάτευση ύψους 10 εκατομμυρίων δολαρίων με τους δημιουργούς του κρυπτοσυστήματος RSA (τους ανθρώπους που κατά το διάστημα εκείνο είχαν το μεγαλύτερο μερίδιο αγοράς στην κρυπτογραφία) για να καταστήσουν την μονάδα κατοικίδιων ζώων τους προεπιλεγμένη για την RSA. Δεν γνωρίζουμε αν η NSA περιλάμβανε το backdoor, αλλά το Dual_EC_DRBG είχε σίγουρα ένα. Το γεγονός ότι η NSA ήταν τόσο επίμονη για την ενσωμάτωση αυτής της μονάδας στην κρυπτογραφία RSA δεν βοηθά την υπόθεση ενάντια στην προηγούμενη γνώση.
Γρήγορα προς τα εμπρός μέχρι το 2015, και τώρα έχετε την κυβέρνηση των ΗΠΑ καθώς και άλλες κυβερνήσεις σε όλο τον κόσμο έρχονται προς τα εμπρός για να ζητήσουν από τις ιδιωτικές εταιρείες να συμπεριλάβουν backdoors στους αλγόριθμους κρυπτογράφησης τους.
Γιατί τα backdoors είναι κακό για όλους τους άλλους
Ίσως έχετε ήδη μια ιδέα για το γιατί τα backdoors είναι κακά. Είναι μια μη-brainer, έτσι; Το θέμα είναι ότι υπάρχουν και άλλες αβέβαιες συνέπειες για την εισαγωγή πίσω παραθύρων για κρυπτογράφηση πέρα από την εισβολή της ιδιωτικής ζωής από κυβερνητικές οντότητες.
Πρώτα απ 'όλα, αν ένας χάκερ ανακαλύψει το backdoor (ακριβώς όπως ξεκίνησε το φιάσκο Dual_EC_DBRG που αναφέρθηκε νωρίτερα), μπορείτε απλώς να εγγυηθώ ότι ο καθένας μπορεί να το εκμεταλλευτεί για να έχει μια ματιά στα πράγματα που είναι πολύ ιδιωτικά για εσάς.
Ο δεύτερος λόγος για τον οποίο τα backdoors είναι φρικτά μπορεί καλύτερα να εκφράζεται με τη μορφή μιας ερώτησης: Γνωρίζοντας ότι όχι μόνο η κυβέρνηση, αλλά οποιοσδήποτε John Doe, μπορεί να ρίξει μια ματιά στα προσωπικά σας δεδομένα, θα ανοίγατε ποτέ έναν λογαριασμό οπουδήποτε ξανά; Οι άνθρωποι βασίζονται στην τεχνολογία αυτή τη στιγμή επειδή το εμπιστεύονται. Εξαλείψτε την εμπιστοσύνη και θα δείτε πολύ λίγους πελάτες στην αγορά επιχειρήσεων. Ναι, οι καταναλωτές εξακολουθούν να χρησιμοποιούν κρυπτογραφημένες και συνδεδεμένες τεχνολογίες, αλλά οι επιχειρήσεις πρόκειται να αποχωρήσουν. Πολλοί από τους αγαπημένους μας κατασκευαστές βασίζονται σε μεγάλο βαθμό στις βάσεις πελατών τους σε επιχειρήσεις.
Έτσι, όχι μόνο αυτή η ιδέα είναι κακή για τους καταναλωτές, αλλά και κακή για την κατώτατη γραμμή των επιχειρήσεων που μας παρέχουν τα πράγματα που αγαπάμε. Γι 'αυτό γίγαντες όπως η Apple και η Google ανησυχούν τόσο για αυτές τις πολιτικές.
Τι νομίζετε ότι πρέπει να κάνουμε; Είναι πιθανός νόμος για αυτό ακόμη και εκτελεστή; Πείτε μας σε ένα σχόλιο!