Å stole på kryptering ble bare mye vanskeligere

I mai 2013 begynte Edward Snowden sin vannskilleutgivelse som ville riste vår oppfatning av kryptert digital kommunikasjon. Sikkerhetseksperter, mennesker som er avhengige av kryptering, og til og med skaperne av krypteringsapplikasjoner selv, er nå urolige for at det kan være umulig å stole på kryptering igjen.

Hva er ikke å stole på?

Det er et komplisert problem, spesielt fordi det ser ut til at matematikk bak kryptering fortsatt er solid. Det som er blitt stilt spørsmål ved det siste året er hvordan kryptering er implementert. Organisasjoner, som National Institute of Standards and Testing (NIST) og Microsoft, er i det varme setet for angivelig å kompromittere krypteringsstandarder og samvirke med offentlige etater.

I november 2013 frigav Snowden-dokumenter som beskyldte NIST for å svekke krypteringsalgoritmen, slik at andre myndigheter kunne utføre overvåking. Etter å ha blitt anklaget, tok NIST skritt for å bekrefte seg selv. I følge Donna Dodson, NISTs sjef for cybersikkerhetsrådgiver i denne bloggen, har "nyhetsrapporter om lekkede klassifiserte dokumenter forårsaket bekymring fra kryptografisamfunnet om sikkerheten til NIST kryptografiske standarder og retningslinjer. NIST er også dypt bekymret over disse rapportene, hvorav noen har stilte spørsmål ved integriteten i utviklingsprosessen for NIST-standarder. "

NIST er med rette bekymret - å ikke ha tillit fra verdens kryptografiske eksperter ville rokke Internettets grunn. NIST oppdaterte bloggen sin 22. april 2014, og la offentlige kommentarer mottatt på NISTIR 7977: NIST Kryptografiske standarder og retningslinjer utviklingsprosess, kommentar fra eksperter som studerte standarden. Forhåpentligvis kan NIST og det kryptografiske samfunnet komme til en hyggelig løsning.

Det som skjedde med den gigantiske programvareleverandøren Microsoft var litt mer tullete. I følge Redmond Magazine ba både FBI og NSA Microsoft om å bygge inn en bakdør til BitLocker, selskapets drive-krypteringsprogram. Chris Paoli, forfatteren av artikkelen, intervjuet Peter Biddle, leder for BitLocker-teamet, som nevnte Microsoft ble plassert i en vanskelig situasjon av byråene. Imidlertid fant de en løsning.

"Mens Biddle nekter for å bygge seg inn i en bakdør, jobbet teamet hans med FBI for å lære dem hvordan de kunne hente data, inkludert målretting mot sikkerhetskopieringstastene til brukere, " forklarte Paoli.

Hva med TrueCrypt?

Støvet satte seg nesten rundt Microsofts BitLocker. Så, i mai 2014, sjokkerte det hemmelighetsfulle utviklingsteamet TrueCrypt kryptografiverdenen, og kunngjorde at TrueCrypt, den fremste programvaren med åpen kildekode for kryptering, ikke lenger var tilgjengelig. Ethvert forsøk på å komme til TrueCrypt-nettstedet ble omdirigert til denne SourceForge.net-websiden som viste følgende advarsel:

Selv før Snowden-dokumentutgivelsen, ville denne typen kunngjøringer sjokkert de som er avhengige av TrueCrypt for å beskytte dataene sine. Legg til tvilsomme krypteringspraksis, og sjokket blir til alvorlig angst. I tillegg står open source-talsmenn som støttet TrueCrypt nå at TrueCrypt-utviklere anbefaler at alle bruker Microsofts proprietære BitLocker.

Unødvendig å si at konspirasjonsteoretikerne har hatt en feltdag med dette. Det er mange forskjellige meninger om årsakene bak beslutningen. Til å begynne med trodde eksperter som Dan Goodin og Brian Krebs nettstedet hadde blitt hacket, men etter en del kontroll avviste begge oppfatningen.

To populære teorier som samkjører seg med denne diskusjonen:

• Microsoft kjøpte TrueCrypt for å eliminere konkurransen (BitLocker migreringsanvisninger drev denne teorien).
• Regjeringspress tvang TrueCrypt’s utviklere til å lukke nettstedet (likt det som skjedde med Lavabit).

Mistanken blir nå kastet på alle former for kryptering bare fordi ingen vet hvor involverte offentlige etater er med krypteringsutviklere. I et blogginnlegg fra september 2013 sa Bruce Schneier, verdenskjent sikkerhetsekspert, "De nye Snowden-avsløringene er eksplosive. I utgangspunktet er NSA i stand til å dekryptere det meste av Internett. De gjør det først og fremst ved juks, ikke av Husk dette: Matematikken er bra, men matematikken har ingen byrå. Koden har byrået, og koden er blitt omgjort. "

Den manglende troen på koden fortsetter i dag. Det faktum at kryptografer utfører en intens gjennomgang av TrueCrypt (IsTrueCryptAuditedYet) er et godt eksempel på usikkerheten som fortsetter å eksistere.

Hva kan vi stole på?

Både Edward Snowden og Bruce Schneier har begge sagt at kryptering fortsatt er den beste løsningen for å holde nysgjerrige øyne borte fra sensitiv personlig informasjon og firmainformasjon.

Snowden, under sitt SXSW-intervju med ACLUs hovedteknolog Christopher Soghoian og Ben Wizner, også fra ACLU, sa: "Hovedpoenget er at kryptering fungerer. Vi trenger ikke å tenke på kryptering som en arcane, mørk kunst, men som grunnleggende beskyttelse for den digitale verden. "

Snowden ga da et personlig eksempel. NSA har jobbet hardt for å finne ut hvilke dokumenter han lekket, men de aner ikke, ganske enkelt fordi de ikke klarer å dekryptere filene hans. Bruce Schneier er også alt i når det gjelder kryptering. Likevel tempererte Schneier sin støtte med en advarsel.

"Lukket kildeprogramvare er enklere for NSA å bakdør enn programvare med åpen kildekode. Systemer som er avhengige av mesterhemmeligheter er sårbare for NSA, enten gjennom lovlige eller mer hemmelige midler, " sa han.

I litt ironi ble Schneiers kommentar også gjort vei før TrueCrypt ble skodd, og før TrueCrypt-utviklere begynte å antyde at folk bruker BitLocker. Ironien: TrueCrypt er åpen kildekode, mens BitLocker er lukket kildekode.