Зміст:
У травні 2013 року Едвард Сноуден розпочав випуск свого переломного документа, який би похитнув наше сприйняття зашифрованих цифрових комунікацій. Експерти з безпеки, люди, які покладаються на шифрування, і навіть самі творці додатків для шифрування зараз стурбовані тим, що шифруванню може бути неможливо знову довіритись.
Що не довіряти?
Це складне питання, тим більше, що здається, що математика за шифруванням все ще є твердою. За останній рік було поставлено під сумнів те, як було реалізовано шифрування. Такі організації, як Національний інститут стандартів і випробувань (NIST) та Microsoft, знаходяться в гарячому місці за нібито компрометацію стандартів шифрування та змову з урядовими установами.
У листопаді 2013 року Снігден випустив документи, які звинуватили NIST в ослабленні його алгоритму шифрування, дозволяючи іншим урядовим установам здійснювати нагляд. Будучи звинуваченим, NIST вжив заходів, щоб помститися. За словами Донни Додсон, головного радника з кібербезпеки NIST в цьому блозі, "новини про витікаючі секретні документи викликали занепокоєння у криптографічної спільноти щодо безпеки криптографічних стандартів та рекомендацій NIST. NIST також глибоко стурбований цими повідомленнями, деякі з яких мають поставив під сумнів цілісність процесу розробки стандартів NIST ".
Компанія NIST справедливо стурбована - відсутність довіри світових експертів-криптографічних може похитнути фундамент Інтернету. 22 квітня 2014 року NIST оновив свій блог, додавши коментарі громадськості, отримані в процесі розробки криптографічних стандартів та рекомендацій NISTIR 7977, коментарі експертів, які вивчали стандарт. Сподіваємось, NIST та криптографічна спільнота зможуть прийти до прийнятного рішення.
Те, що сталося з гігантським постачальником програмного забезпечення Microsoft, було дещо туманнішим. За даними журналу Redmond, і ФБР, і NSA попросили Microsoft побудувати заднім куточком для BitLocker, програми шифрування дисків компанії. Кріс Паолі, автор статті, взяв інтерв'ю в Пітера Біддла, керівника команди BitLocker, який згадав про те, що Microsoft потрапила в незручне становище агентствами. Однак вони знайшли рішення.
"Поки Біддл заперечує будівництво в задньому куті, його команда працювала з ФБР, щоб навчити їх отримувати дані, в тому числі орієнтуватися на резервні ключі шифрування користувачів", - пояснив Паолі.
Що про TrueCrypt?
Пил майже осіла навколо Microsoft BitLocker. Тоді, у травні 2014 року, секретна команда розробників TrueCrypt шокувала світ криптографії, оголосивши, що TrueCrypt, головне програмне забезпечення для шифрування з відкритим кодом, більше не доступне. Будь-яка спроба потрапити на веб-сайт TrueCrypt була перенаправлена на цю веб-сторінку SourceForge.net, на якій було вказано таке попередження:
Ще до виходу документа Snowden подібний вид повідомлення шокував би тих, хто покладається на TrueCrypt для захисту своїх даних. Додайте сумнівну практику шифрування, і шок перетворюється на серйозний гнів. Крім того, захисники з відкритим кодом, які підтримували TrueCrypt, зараз стикаються з тим, що розробники TrueCrypt рекомендують всім користуватися фірмовим BitLocker Майкрософт.
Потрібно говорити, що теоретики змови провели цей день. Існує багато різних думок щодо причин цього рішення. Спочатку експерти, такі як Ден Гудін та Брайан Кребс, вважали, що веб-сайт був зламаний, але після деяких перевірок обидва відхилили це поняття.
Дві популярні теорії, які узгоджуються з цією дискусією:
- Microsoft купила TrueCrypt для усунення конкуренції (напрямки міграції BitLocker підживлювали цю теорію).
- Тиск уряду змусило розробників TrueCrypt закрити веб-сайт (подібно до того, що сталося з Lavabit).
Ця недовіра в кодексі триває і сьогодні. Те, що криптографи проводять інтенсивний огляд TrueCrypt (IsTrueCryptAuditedYet), є яскравим прикладом невизначеності, яка продовжує існувати.
Чому ми можемо довіряти?
І Едвард Сноуден, і Брюс Шнайер заявили, що шифрування все ще є найкращим рішенням для запобігання сторонніх очей від чутливої особистої та фірмової інформації.
Сноуден, під час інтерв'ю SXSW з головним технологом ACLU Крістофером Согхояном та Бен Візнером, також з ACLU, сказав: "Суть полягає в тому, що шифрування працює. Ми не повинні думати про шифрування як таємне, темне мистецтво, а як про основний захист для цифрового світу ".
Тоді Сноуден запропонував особистий приклад. НСА наполегливо працює, щоб розібратися, які документи він просочився, але вони не мають уявлення, просто тому, що не в змозі розшифрувати його файли. Брюс Шнайер також все в роботі, коли мова йде про шифрування. І все-таки Шнайер загартував свою підтримку попередженням.
"Програмне забезпечення із закритим кодом для АНБ легше здійснювати бекстердайн, ніж програмне забезпечення з відкритим кодом. Системи, що покладаються на головну таємницю, є вразливими для АНБ за допомогою законних чи інших підпільних засобів", - сказав він.
Трохи іронічно, коментар Шнайєра також вийшов перед тим, як TrueCrypt закрився, і перш ніж розробники TrueCrypt почали припускати, що люди використовують BitLocker. Іронія: TrueCrypt є відкритим кодом, тоді як BitLocker є закритим.
