Menyandarkan penyulitan hanya mendapat lebih banyak masalah

Pada bulan Mei 2013, Edward Snowden memulakan pelepasan dokumen alirannya yang akan menggoncang persepsi kami tentang komunikasi digital yang disulitkan. Pakar keselamatan, orang yang bergantung pada penyulitan, dan bahkan pencipta aplikasi penyulitan sendiri kini bermasalah sehingga mungkin tidak dapat dipercaya lagi penyulitan.

Apa Yang Tidak Dipercayai?

Ini masalah rumit, terutamanya kerana kelihatan bahawa matematik di belakang penyulitan masih kukuh. Apa yang dipersoalkan sepanjang tahun lalu adalah bagaimana penyulitan telah dilaksanakan. Organisasi seperti National Institute of Standards and Testing (NIST) dan Microsoft, berada di tempat duduk yang panas kerana didakwa mengabaikan piawaian penyulitan dan bercanggah dengan agensi kerajaan.

Pada bulan November 2013, dokumen yang dilancarkan Snowden yang menuduh NIST melemahkan algoritma penyulitannya, membolehkan agensi kerajaan lain menjalankan pengawasan. Setelah dituduh, NIST mengambil langkah untuk membela diri. Menurut Donna Dodson, penasihat keselamatan cybersecurity ketua NIST dalam blog ini, "laporan berita tentang dokumen rahasia yang bocor telah menimbulkan kebimbangan dari komunitas kriptografi tentang keamanan standar dan panduan kriptografi NIST. NIST juga sangat prihatin dengan laporan ini, beberapa diantaranya mempersoalkan integriti proses pembangunan standard NIST. "

NIST berhati-hati - tidak memiliki kepercayaan pakar kriptografi dunia akan menggoncangkan asas Internet. NIST mengemas kini blognya pada 22 April 2014, menambah Komen Awam yang Diterima pada NISTIR 7977: Standard Kritografi NIST dan Proses Pembangunan Garis Panduan, ulasan daripada pakar yang mengkaji piawaian itu. Mudah-mudahan, NIST dan komuniti kriptografi boleh menjadi penyelesaian yang sesuai.

Apa yang berlaku dengan penyedia perisian gergasi Microsoft agak sedikit samar-samar. Menurut Redmond Magazine, kedua-dua FBI dan NSA meminta Microsoft untuk membina pintu belakang kepada BitLocker, program penyulitan pemacu syarikat. Chris Paoli, pengarang artikel itu, mewawancarai Peter Biddle, ketua pasukan BitLocker, yang menyebutkan Microsoft diletakkan di kedudukan yang janggal oleh agensi. Bagaimanapun, mereka mendapati penyelesaiannya.

"Walaupun Biddle menafikan bangunan di pintu belakang, pasukannya bekerja dengan FBI untuk mengajar mereka bagaimana mereka dapat mengambil data, termasuk menyasarkan kunci penyulitan sandaran pengguna, " jelas Paoli.

Bagaimana dengan TrueCrypt?

Debu hampir diselesaikan di BitLocker Microsoft. Kemudian, pada bulan Mei 2014, pasukan pembangunan TrueCrypt yang mengkritik mengejutkan dunia kriptografi, mengumumkan bahawa TrueCrypt, perisian penyulitan sumber terbuka utama, tidak lagi tersedia. Apa-apa percubaan untuk sampai ke laman web TrueCrypt telah diarahkan ke laman Web SourceForge.net ini yang menunjukkan amaran berikut:

Walaupun sebelum pelepasan dokumen Snowden, jenis pengumuman ini akan mengejutkan mereka yang bergantung pada TrueCrypt untuk melindungi data mereka. Tambah dalam amalan penyulitan yang dipersoalkan, dan kejutan menjadi kebimbangan yang serius. Selain itu, penyokong sumber terbuka yang menyokong TrueCrypt kini menghadapi hakikat bahawa pemaju TrueCrypt mengesyorkan bahawa semua orang menggunakan BitLocker proprietari Microsoft.

Tidak perlu dikatakan, ahli teori konspirasi mempunyai hari lapangan dengan ini. Terdapat banyak pendapat yang berbeza mengenai alasan di sebalik keputusan itu. Pada mulanya, pakar-pakar seperti Dan Goodin dan Brian Krebs menganggap laman web tersebut telah digodam, tetapi selepas beberapa pemeriksaan kedua-duanya menolak tanggapan itu.

Dua teori popular yang menyelaraskan diri mereka dengan perbincangan ini:

• Microsoft membeli TrueCrypt untuk menghapuskan persaingan (arahan migrasi BitLocker memajukan teori ini).
• Tekanan kerajaan memaksa pemaju TrueCrypt untuk menutup laman web (serupa dengan apa yang berlaku kepada Lavabit).

Suspicion kini dilancarkan pada semua bentuk enkripsi semata-mata kerana tiada siapa yang tahu bagaimana terlibat agensi-agensi kerajaan dengan pemaju penyulitan. Dalam blog post September 2013, pakar keselamatan dunia yang terkenal di dunia, Bruce Schneier berkata, "Revelations baru Snowden adalah bahan letupan. Pada asasnya, NSA mampu mendekripsi sebagian besar Internet. Mereka melakukannya dengan menipu, bukan oleh Ingat ini: Matematik adalah baik, tetapi matematik tidak mempunyai agensi. Kod mempunyai agensi, dan kod tersebut telah ditumbangkan. "

Kekurangan iman dalam kod itu terus berlaku hari ini. Hakikat bahawa cryptographers melakukan kajian semula intensif TrueCrypt (IsTrueCryptAuditedYet) adalah contoh utama ketidakpastian yang terus wujud.

Apa yang Boleh Kita Percayai?

Kedua-dua Edward Snowden dan Bruce Schneier sama-sama mengatakan bahawa penyulitan masih merupakan penyelesaian terbaik untuk menjaga mata dari maklumat peribadi dan syarikat sensitif.

Snowden, ketika wawancara SXSWnya dengan teknolog utama ACLU Christopher Soghoian dan Ben Wizner, juga dari ACLU berkata, "Intinya ialah enkripsi itu berfungsi. Kita tidak perlu memikirkan enkripsi sebagai seni gelap, tetapi sebagai perlindungan asas untuk dunia digital. "

Snowden kemudian menawarkan contoh peribadi. NSA telah bekerja keras untuk memikirkan apa dokumen yang dia bocor, tetapi mereka tidak tahu, hanya kerana mereka tidak dapat mendekripsi failnya. Bruce Schneier juga semua dalam soal penyulitan. Walau bagaimanapun, Schneier menggandakan sokongannya dengan amaran.

Perisian tertutup adalah lebih mudah untuk NSA ke pintu belakang daripada perisian sumber terbuka. Sistem yang bergantung pada rahasia induk terdedah kepada NSA, melalui cara yang sah atau lebih jelas, "katanya.

Dalam sedikit ironi, ulasan Schneier juga dibuat sebelum TrueCrypt ditutup, dan sebelum pemaju TrueCrypt mula mencadangkan bahawa orang menggunakan BitLocker. Ironi: TrueCrypt adalah sumber terbuka, sedangkan BitLocker adalah sumber tertutup.