תוכן עניינים:
במאי 2013 החל אדוארד סנודן את שחרור המסמכים פרשת המים שלו שיטלטל את התפיסה שלנו לגבי תקשורת דיגיטלית מוצפנת. מומחי אבטחה, אנשים המסתמכים על הצפנה ואפילו יוצרי אפליקציות הצפנה עצמם מוטרדים כעת כי יתכן שאי אפשר לסמוך על הצפנה שוב.
על מה לא לסמוך?
זה נושא מורכב, במיוחד מכיוון שנראה כי מתמטיקה שמאחורי ההצפנה היא עדיין יציבה. מה שנשאל בסימן שאלה בשנה האחרונה הוא כיצד מיושם ההצפנה. ארגונים, כמו המכון הלאומי לתקנים ובדיקות (NIST) ומיקרוסופט, נמצאים במושב החם בגלל פגיעה כביכול בתקני ההצפנה וההתנגדות עם סוכנויות ממשלתיות.
בנובמבר 2013, פרסמו סנודן מסמכים שהאשימו את NIST בהחלשת אלגוריתם ההצפנה שלו, ואיפשרו לסוכנויות ממשלתיות אחרות לבצע מעקב. לאחר שהואשם, NIST נקטה צעדים בכדי להצדיק את עצמה. על פי דונה דודסון, יועצת אבטחת הסייבר הראשית של NIST בבלוג זה, "דיווחי חדשות על מסמכים מסווגים שהודלפו גרמו לדאגה מצד הקהילה הקריפטוגרפית לגבי אבטחת התקנים וההנחיות של הציטוטים. NIST מודאגת מאוד גם מהדיווחים הללו, שחלקם הטיל ספק ביושרותו של תהליך פיתוח תקני NIST. "
NIST מודאג בצדק - אי אמון של מומחי הקריפטוגרפיה העולמי היה מטלטל את יסוד האינטרנט. NIST עדכן את הבלוג שלו ב- 22 באפריל 2014, והוסיף הערות פומביות שהתקבלו ב- NISTIR 7977: תהליך פיתוח תקנים והנחיות לקריפטוגרפיה של NIST, פרשנות ממומחים שחקרו את התקן. יש לקוות, NIST והקהילה הקריפטוגרפית יכולים להגיע לפיתרון נעים.
מה שקרה עם ספקית התוכנה הענקית מיקרוסופט היה קצת יותר ערמומי. על פי מגזין רדמונד, הן ה- FBI והן NSA ביקשו ממיקרוסופט לבנות דלת אחורית ל- BitLocker, תוכנית הצפנת הכונן של החברה. כריס פאולי, מחבר המאמר, ראיין את פיטר בידל, ראש צוות BitLocker, שהזכיר כי מיקרוסופט הוצבה בעמדה מביכה על ידי הסוכנויות. עם זאת, הם מצאו פיתרון.
"בעוד שבידל מכחיש את הבנייה בדלת אחורית, הצוות שלו עבד עם ה- FBI כדי ללמד אותם כיצד הם יכולים לאחזר נתונים, כולל מיקוד למפתחות הצפנת הגיבוי של המשתמשים, " הסביר פאולי.
מה לגבי TrueCrypt?
האבק כמעט התייצב סביב BitLocker של מיקרוסופט. ואז, במאי 2014, צוות הפיתוח TrueCrypt החשאי זיעזע את עולם הקריפטוגרפיה והודיע כי TrueCrypt, תוכנת ההצפנה המובילה בקוד פתוח, כבר לא זמינה. כל ניסיון להגיע לאתר TrueCrypt הופנה לדף האינטרנט הזה של SourceForge.net שהציג את האזהרה הבאה:
עוד לפני יציאת מסמך סנודן, הודעה מסוג זה הייתה מזעזעת את מי שסומכים על TrueCrypt כדי להגן על הנתונים שלהם. הוסף שיטות הצפנה מפוקפקות, וההלם הופך לחרדה קשה. בנוסף, תומכי קוד פתוח שגיבו את TrueCrypt מתמודדים כעת עם העובדה שמפתחי TrueCrypt ממליצים לכולם להשתמש ב- BitLocker הקנייני של מיקרוסופט.
למותר לציין שלתיאורטיקני הקונספירציה היה יום שדה עם זה. ישנן דעות רבות ושונות ביחס לסיבות העומדות מאחורי ההחלטה. בתחילה, מומחים כמו דן גודין ובריאן קרבס חשבו שהאתר נפרץ, אך לאחר בדיקות שניהם ביטלו את התפיסה הזו.
שתי תיאוריות פופולריות המתיישרות עם הדיון הזה:
- מיקרוסופט קנתה את TrueCrypt כדי לבטל את התחרות (כיווני הגירה של BitLocker דלקו תיאוריה זו).
- לחץ ממשלתי אילץ את מפתחי TrueCrypt לסגור את האתר (בדומה למה שקרה לבביט).
חוסר האמונה בקוד נמשך גם היום. העובדה שקריפטוגרפים מבצעים סקירה אינטנסיבית של TrueCrypt (IsTrueCryptAuditedYet) היא דוגמא עיקרית לחוסר הוודאות שממשיך להתקיים.
על מה אנו יכולים לסמוך?
שניהם אדוארד סנודן וגם ברוס שנייר אמרו שניהם כי הצפנה היא עדיין הפיתרון הטוב ביותר להרחיק את העיניים הסקרניות ממידע אישי ורגיש של החברה.
סנודן, במהלך הראיון שלו ב- SXSW עם הטכנולוג הראשי של ACLU, כריסטופר סוגויאן ובן ויצנר, אף הוא מטעם ה- ACLU, אמר: "בשורה התחתונה ההצפנה אכן עובדת. אנחנו לא צריכים לחשוב על הצפנה כאמנות שקועה ואפלה, אלא כהגנה בסיסית עבור העולם הדיגיטלי. "
לאחר מכן הציע סנודן דוגמה אישית. ה- NSA עבד קשה כדי להבין אילו מסמכים הוא הדליף, אך אין להם שום מושג, פשוט מכיוון שהם לא מסוגלים לפענח את הקבצים שלו. ברוס שנייר נמצא גם כל מה שקשור להצפנה. ובכל זאת, שנייר מזג את תמיכתו באזהרה.
"תוכנת קוד סגור קלה יותר ל- NSA לפתיחת דלת אחורית מאשר תוכנת קוד פתוח. מערכות הנשענות על סודות אב פגיעות ל- NSA, באמצעים חוקיים או חשאיים יותר, " אמר.
במעט אירוניה, התגובה של שנייר התרחשה גם לפני שתריס ה- TrueCrypt, ולפני שמפתחי TrueCrypt החלו להציע לאנשים להשתמש ב- BitLocker. האירוניה: TrueCrypt הוא קוד פתוח ואילו BitLocker הוא קוד סגור.