211service.com
Šifrēšanas apiešana atbrīvo NSA rokas tiešsaistē
Šovasar vairākas informācijas noplūžu atklāja, ka Nacionālā drošības aģentūra izmanto jaunas ASV likumu interpretācijas, lai vāktu datus no pasaules lielākajām interneta kompānijām. Tagad jaunie ziņojumi par NSA tehniskajām iespējām liecina, ka aģentūra faktiski var lasīt lielāko daļu tiešsaistes saziņas, nemaz nevēršoties tieši pie pakalpojumu sniedzējiem.
The Ņujorkas Laiks atsaucoties uz dokumentiem, ko nopludināja bijušais NSA līgumslēdzējs Edvards Snoudens, ziņojumi ka NSA ir apiejusi vai uzlauzusi lielu daļu tiešsaistē izmantotās šifrēšanas. Šādas iespējas varētu ļoti spēcīgi apvienot ar piekļuvi aģentūrai interneta pakalpojumu sniedzēju un lielāko starptautisko telekomunikāciju kabeļu pārraidei.
Tas liek domāt, ka viņiem vairs nav jāiet, teiksim, Google; viņi var atšifrēt datus no AT&T vai izmantot savu infrastruktūru, piemēram, uz zemūdens kabeļiem, saka Dens Auerbahs, uzņēmuma tehnologs. Electronic Frontier Foundation .
NSA savu novērošanas iespēju izmantošanu ierobežo ASV tiesību akti, kas aizliedz ASV pilsoņu novērošanu. Tomēr šīs vasaras sākumā notikušās informācijas noplūdes atklāja, ka aģentūra izmantoja iepriekš nezināmas juridiskas interpretācijas, lai pamatotu datu masveida vākšanu no ASV sakaru uzņēmumiem vēlākai analīzei (skatiet sadaļu NSA Surveillance Reflects a Broader Interpretation of the Patriot Act ). Taktikas pretinieki saka, ka lielapjoma savākšana palielina uzraudzības pilnvaru ļaunprātīgas izmantošanas risku nejauši vai citādi.
The reizes atskaite un viens no Guardian Pamatojoties uz tiem pašiem dokumentiem, ir izlaistas daudzas specifikas par NSA iespējām, bet aprakstītas metodes, kas iedalāmas divās plašās kategorijās: mērķtiecīgi centieni, lai apietu konkrēta uzņēmuma izmantoto šifrēšanu, un metodes, kas var uzbrukt daudzu uzņēmumu izmantotajām kriptogrāfijas sistēmām.
Pirmajā kategorijā NSA uztur datu bāzi ar šifrēšanas atslēgām, ko daudzi tiešsaistes pakalpojumu sniedzēji izmanto datu aizsardzībai, ļaujot viegli atšifrēt visus datus no šiem pakalpojumiem. Tiek ziņots, ka atslēgas tiek iegūtas, izmantojot tiesas rīkojumus, uzvarot uzņēmumu brīvprātīgā sadarbībā vai ielaužoties uzņēmumos, lai nozagtu to atslēgas. Acīmredzot ir iespējami arī uzbrukumi konkrētiem uzņēmumiem, jo NSA ir apdraudējusi dažu pakalpojumu sniedzēju izmantotās šifrēšanas mikroshēmas. Ziņojumā teikts, ka tas to paveica, atklājot drošības nepilnības vai pat pārliecinot ražotājus uzstādīt aizmugures durvis.
Otrās kategorijas uzbrukumu spēks un apjoms, kuru mērķis ir iedragāt kriptogrāfijas algoritmus, nav tik skaidrs. The reizes saka, ka NSA ir guvusi panākumus ar paņēmieniem, kas varētu padarīt praktisku apgriezt šifrēšanu, kas parasti tiek uzskatīta par drošu, daļēji ietekmējot kriptogrāfijas standartu izstrādi, lai izveidotu slepenas aizmugures durvis. Viens no galvenajiem šiem uzbrukumiem tika vērsts uz SSL — tehnoloģiju, ko izmanto, lai nodrošinātu drošus savienojumus ar tiešsaistes pakalpojumiem, piemēram, banku pakalpojumiem.
Kriptogrāfijas eksperti cenšas sagremot ziņas, ka standartiem, kurus viņi uzskatīja par drošiem, varētu būt NSA ieviestās ievainojamības. Tomēr, ja nav sniegta informācija par šādu uzbrukumu būtību un efektivitāti, maz ticams, ka SSL tiks atmests.
Pastāv tehnoloģijas, kas ļautu uzņēmumiem ierobežot NSA spēju apiet šifrēšanu, iegūstot savu šifrēšanas atslēgu, ko izmanto datu aizsardzībai. Paņēmiens, ko sauc par perfektu pārsūtīšanas slepenību, neļautu aģentūrai izmantot šifrēšanas atslēgu, kas bija paņemta no uzņēmuma vai tika matemātiski uzlauzta, lai atšifrētu visus turpmākos un iepriekšējos sakarus. Tā vietā, lai izmantotu atkal un atkal lietotu atslēgu, perfekta pārsūtīšanas slepenība rada pagaidu atslēgas, ko izmanto tikai konkrētai drošai saziņas sesijai starp lietotāju un pakalpojumu sniedzēju.
Google pieņēma šo metodi 2011. gadā, un Auerbahs saka, ka es aptuveni saprotu, ka tas ir vienīgais lielākais pakalpojumu sniedzējs, kas to izmanto. EZF vairākus mēnešus ir mēģinājis pārliecināt citus interneta uzņēmumus sekot šim piemēram, bez panākumiem.
Auerbahs cer, ka šīs nedēļas jaunumi liks interneta kompānijām par prioritāti izvirzīt ideālas slepenības ieviešanu. Viņš saka, ka daudzi uzņēmumi jau ir pārskatījuši savu drošības un privātuma praksi, ņemot vērā NSA atklājumus, un šī aģentūra, visticamāk, nebūs vienīgā, kas mēģina apiet šifrēšanu. Mēs nerunājam tikai par ASV valdību, bet arī par citām izlūkošanas organizācijām.
Džozefs Lorenco Hols, vecākais personāla tehnologs Demokrātijas un tehnoloģiju centrs Vašingtonas bezpeļņas organizācija norāda, ka tehniskie risinājumi, piemēram, nevainojama slepenība, var likt NSA piespiest interneta pakalpojumu sniedzējus izveidot veidu, kā to apiet. Pat ja jūs izgudrotu labu tehnisko risinājumu, jūs varētu nonākt situācijā, kad jums tika likts to kompromitēt, viņš saka. Viņš saka, ka, izveidojot šādas aizmugures durvis, NSA faktiski iedragās ASV nacionālo drošību, radot veidus, ko citi dalībnieki varētu izmantot.