NSA noplūde atstāj kripto matemātiku neskartu, bet izceļ zināmos risinājumus

Kad Ņujorkas Laiks Ziņot ceturtdien parādījās paziņojums, ka Nacionālā drošības aģentūra ir apiejusi vai uzlauzusi lielu daļu šifrēšanas, kas aizsargā tiešsaistes darījumus, datoru drošības speciālisti gaidīja ziņas par sasniegumiem, kas grauj viņu jomas pamatus.





Tomēr kriptogrāfijas eksperti stāsta MIT tehnoloģiju apskats ka, rūpīgi izlasot pagājušās nedēļas ziņojumu, liecina, ka NSA nav pārkāpusi pamatā esošās matemātiskās darbības, kas tiek izmantotas tiešsaistes banku vai e-pasta maskēšanai.

Tā vietā šķiet, ka aģentūra paļaujas uz dažādiem uzbrukumiem programmatūrai, ko izmanto šo kriptogrāfisko algoritmu izvietošanai, un cilvēkiem un organizācijām, kas izmanto šo programmatūru. Šīs stratēģijas, kas atklātas Edvarda Snoudena nopludinātajos dokumentos, datoru drošības pētniekiem nebija pārsteigums, ņemot vērā, ka NSA misija ietver Amerikas tehnoloģiski spējīgāko ienaidnieku meklēšanu.

Visa noplūde ir bijusi uzdevums 'Es jums to teicu,' saka Stīvens Veiss, serveru šifrēšanas uzņēmuma izpilddirektors. PrivateCore . Veiss iepriekš strādāja pie kriptogrāfijas ieviešanas uzņēmumā Google. Šķiet, ka nav nekāda veida revolucionāra algoritma izrāviena, viņš saka, taču viņi spēj sekot šo sistēmu ieviešanai un cilvēciskajiem aspektiem.



Šī taktika acīmredzot ietver legālu rīku izmantošanu vai uzlaušanu, lai iegūtu digitālās atslēgas, ko izmanto datu šifrēšanai; brutālas skaitļošanas jaudas izmantošana, lai izjauktu vāju šifrēšanu; un piespiežot uzņēmumus palīdzēt aģentūrai apiet drošības sistēmas.

Ja kriptovalūta nedarbotos, NSA netraucētu veikt visas šīs citas lietas, saka Džons Kallass, kriptogrāfs, kurš bija PGP Corporation līdzdibinātājs un tagad ir drošas ziņojumapmaiņas uzņēmuma galvenais tehnoloģiju speciālists. Klusais aplis (skatiet sadaļu Lietotne, kas novērš spiegus no jūsu tālruņa ). Tas ir tas, ko jūs darāt, jo nevarat uzlauzt kriptovalūtu.

Ieraudzījis dokumentus, kas ir aiz pagājušās nedēļas ziņojumiem, drošības eksperts Brūss Šneers rakstīja Aizbildnis ka cilvēkiem vajadzētu joprojām uzticies matemātikai kas ir kriptogrāfijas pamatā. Jūnijā Snoudens teica tiešsaistē tērzēšana ka pareizi ieviestas spēcīgas kriptogrāfijas sistēmas ir viena no nedaudzajām lietām, uz kurām varat paļauties.



Kriptogrāfijas sistēmas un drošības programmatūra bieži uzlabojas ciklā, kurā pētnieki publicē informāciju par trūkumiem, kas pēc tam tiek novērsti. Aplūkojot pagājušās nedēļas ziņojumus šādā veidā, tas neliecina, ka drošības kopienai ir jāpārdomā savu rīku un stratēģiju pamati, saka Callas. Viņš saka, ka drīzāk būtu jāpaātrina zināmo drošības uzlabojumu pieņemšana un jāpalielina zināmo vājo punktu pārbaude. Lietas vienmēr ir bijis nepārtraukti jāpārbauda.

Veiss piekrīt, sakot, ka uzņēmumiem tas jādara neatkarīgi no NSA viedokļa. Viņš saka, ka daudzas aģentūras izmantotās metodes nebūs vissarežģītākās, tāpēc tās būs pieejamas organizētajai noziedzībai un citu valstu drošības dienestiem.

Divas NSA taktikas, kas ir pamanāmas ceturtdienas ziņojumā, izceļ plaši zināmas un labojamas nepilnības lielākajā daļā tiešsaistes pakalpojumu. Vienā no šīm taktikām aģentūra savāc šifrēšanas atslēgas no tiešsaistes pakalpojumiem, lai tā varētu pēc vēlēšanās atšifrēt pārtvertos datus. Otrā, reizes teica, ka NSA izmanto īpaši izstrādātus, īpaši ātrus datorus, lai izjauktu kodus, padarot to arvien vairāk spējīgu atšifrēt datus, neizmantojot konkrētus uzņēmumus.



Atslēgu nozagšanas vērtību lielākoties var neitralizēt, ja interneta pakalpojumu sniedzēji izmanto paņēmienu, ko sauc par perfektu pārsūtīšanas slepenību, kurā atslēgas netiek izmantotas atkārtoti. Līdz šim Google un daži citi uzņēmumi to ir pieņēmuši (skatiet informāciju par šifrēšanas apiešanu, kas atbrīvo NSA rokas tiešsaistē).

Šķiet, ka pieminēšana par NSA datoriem, kas lauž kodu, un citas jauno ziņojumu daļas apstiprina sen pastāvošās aizdomas, ka aģentūra var pārvarēt salīdzinoši vāju šifrēšanas veidu, ko izmanto lielākā daļa vietņu, kas piedāvā drošus SSL savienojumus, kas lietotājiem redzami kā piekaramās slēdzenes ikona un https pārlūkprogrammas adreses joslā. Lielākā daļa vietņu, kurās tiek izmantots SSL, izmanto uzticamo RSA šifrēšanas algoritmu ar 1024 bitu garām matemātiskām atslēgām. Eksperti jau gadiem ir brīdinājuši, ka ir nepieciešamas garākas atslēgas, lai aizsargātos pret uzbrucēju ar valsts aģentūras vai liela uzņēmuma resursiem.

RSA 1024 ir pārāk vājš, lai to izmantotu jebkur ar pārliecību par tā drošību, saka Toms Riters, kriptogrāfs ar iSec partneri . Neskatoties uz to, salīdzinoši maz uzņēmumu izmanto drošākas, garākas RSA atslēgas. Facebook un Google mainījās tikai šogad.



Programmatūra, ko interneta uzņēmumi izmanto, lai ieviestu SSL, jo īpaši plaši izmantotā atvērtā pirmkoda pakotne ar nosaukumu OpenSSL, ir viena no daudzajām interneta drošības infrastruktūras daļām, kas tiks rūpīgāk pārbaudīta pēc pagājušās nedēļas ziņojumiem, saka Veiss. Tomēr jau bija zināms, ka šīm būtiskajām daļām ir jāpievērš īpaša uzmanība. Es nedomāju, ka tas pārāk daudz maina prioritātes.

Kallass saka, ka viņam ir daudz grūtāk atbildēt uz ceturtdienas ziņojuma daļu, kurā teikts, ka NSA sadarbojas ar uzņēmumiem, lai drošības programmatūrā un aparatūrā instalētu aizmugures durvis. Komerciālais kods un dizainparaugi parasti tiek stingri turēti, un mikroshēmas darbības pārbaude ir īpaši sarežģīta. Morāles un politikas ietekme uz drošības nozari un Ameriku kopumā ir vienlīdz sarežģīta, saka Callas. Ja mana valdība mēģina notvert teroristus un ievieto vājās vietas programmatūrai un aparatūrai, ko es izmantoju, kas ļauj zagļiem nozagt naudu no manis, viņš jautā, kurš ir labais puisis un kurš ir sliktais?

The reizes Ziņojumā arī teikts, ka NSA ir ietekmējusi jaunu kriptogrāfijas standartu izstrādi, lai slēptu trūkumus, ko tā varētu izmantot. Raksturīgā paranoiskā kriptogrāfijas kopiena jau bija pārdomājusi standartus, lai mēģinātu atklāt šādus caurumus, saka Veiss: par to cilvēki ir runājuši jau ilgu laiku.

Ja NSA ietekmētu standartus, tas, iespējams, to darītu, izmantojot attiecības ar Nacionālo standartu un tehnoloģiju institūtu, kas nosaka ASV kriptogrāfijas standartus un ir ietekmīgs visā pasaulē. 2007. gadā Microsoft pētnieki parādīja, ka NIST standartam, kas tika ieviests iepriekšējā gadā un ko publiski atbalstīja NSA, ir liela matemātiska kļūda. Tomēr Callas, Weis un citi eksperti konsultējās ar MIT tehnoloģiju apskats visi teica, ka standarts Dual_EC_DRBG vienmēr bija pārāk lēns, lai to plaši izmantotu. Ja defektu noteica NSA, tas bija smalks un slikti mērķēts plāns, saka Callas.

Šķiet, ka daudzus no visplašāk izmantotajiem NIST standartiem NSA nav apdraudējusi, jo tos atklāti izstrādāja grupas ārpus Amerikas Savienotajām Valstīm. Aģentūrai bija galvenā loma vienā būtiskā standartā attiecībā uz metodi, kas ir iestatīta kā noklusējuma veids tiešsaistes datu nodrošināšanai (skatiet sadaļu Math Advances Raise Prospect of Internet Security Crisis ). Tomēr šis standarts ir būtiska daļa no Suite B — kriptogrāfijas rīku komplekta, ko mūsdienās visplašāk izmanto ASV valdība un daudzi tās darbuzņēmēji. Aizmugures durvju ieviešana šajā jomā šķistu neproduktīva NSA.

paslēpties