r   e   k   l   a   m   a
r   e   k   l   a   m   a

NSA zainteresowane prywatnymi kluczami szyfrującymi firm internetowych. Kto odmówił, kto współpracował?

Strona główna AktualnościINTERNET

Ujawnione przez Edwarda Snowdena zainteresowanie amerykańskiej Agencji Bezpieczeństwa Narodowego komunikacją internetową rozciągało się także na ruch sieciowy, do którego teoretycznie nikt poza zainteresowanymi nie powinien mieć dostępu, czyli ten odbywający się po protokole HTTPS. Zakładając, że NSA nie znalazło jakiegoś „magicznego” środka na atak man-in-the-middle przeciwko poprawnie nawiązanym połączeniom SSL/TLS, napychanie macierzy dyskowych petabajtami zaszyfrowanego ruchu wydawało się bez sensu. Potem jednak zaczęły pojawiać się informacje, które ten „nonsens” postawiły w zupełnie innym świetle.

Najpierw Netcraft ujawnił wyniki badań, z których wynikało, że przeglądarki Microsoftu i Apple'a robią co mogą, by nie stosować Perfect Forward Secrecy, technologii pozwalającej zabezpieczyć komunikację w scenariuszu, w którym napastnik uzyskałby dostęp do klucza prywatnego używanego przez operatoa serwera WWW, z którym w bezpieczny sposób łączył się internauta. Dla NSA sytuacja, w której domyślne przeglądarki Windows, OS-a X i iOS-a tak bardzo wychodzą naprzeciw ich potrzebom była spełnieniem fantazji o masowej inwigilacji – teraz tylko zdobyć klucze prywatne i cała komunikacja elektroniczna podsłuchiwanych osób zostaje ujawniona analitykom.

Największe firmy internetowe zaczęły jednak szybko zapewniać, że nigdy, przenigdy swoich kluczy prywatnych NSA nie wydadzą. Nie chciały jednak mówić, czy kiedykolwiek żądania takie zostały postawione, zarówno w jednostkowych przypadkach, jak i jako element zakrojonych na szerszą skalę działań. Jednak anonimowi informatorzy CNET-u przekazali dziennikarzom tego serwisu niepokojące dane. O ile faktycznie internetowi potentaci – Google czy Microsoft – dysponujący silnymi działami prawnymi, byli w stanie odrzucić stawiane przez federalne agencje żądania wydania ich prywatnych kluczy, to mniejszym firmom nie poszło już tak dobrze.

Jestem przekonany, że władze naciskają na małych graczy; administracja jest przekonana, że może zmusić nas do wszystkiego, co jej tylko przyjdzie do głowy – stwierdzić miał jeden z tych informatorów. Inny, który otrzymał bezpośrednio żądanie wydania klucza prywatnego potwierdza: administracja federalna żąda od dostawców wydania kluczy SSL. Ilu z tych mniejszych uległo, tego nie wiemy. Szczęśliwie dla niektórych nieugiętość to kwestia etyki: Richard Lovejoy, dyrektor należącego do Opery Software dostawcy Fastmail twierdzi, że w jego interpretacji prawo zakazuje wydania władzom klucza SSL. Gdybyśmy takie żądanie otrzymali, odmówilibyśmy zarówno z powodów prawnych jak i etycznych – byłoby to wyrażenie zgody na inwigilację wszystkich naszych użytkowników, a to na pewno jest nielegalne.

Co ciekawe, na pytania dotyczące gotowości do wydania kluczy agencjom federalnym kilka firm w ogóle nie chciało odpowiadać. Wśród nich były Apple, Yahoo!, AOL, Verizon, Comcast i AT&T. Tak samo skomentowania swojego zainteresowania prywatnymi kluczami dostawców usług internetowych odmówiły NSA i FBI. Rzecznik tej ostatniej agencji stwierdził jedynie, że agencja nie wypowiada się w kwestii stosowanych strategii, technik i narzędzi. Faktycznie – robić tego nie musi, tym bardziej, że nikt też nie wie, czy w świetle amerykańskiego federalnego prawa o podsłuchach, administracja tego kraju ma prawo żądać wydania kluczy. Departament Sprawiedliwości stoi na stanowisku, że nakazy wydania mogą zostać wydane w sprawach, dla których uzyskanie klucza pozwoliłoby ujawnić informacje istotne dla śledztwa. Electronic Frontier Foundation kwestionuje to stanowisko, uważając, że zakres pomocy technicznej świadczonej agencjom federalnym nie może być nieograniczony – ale już przedstawicielka Center for Internet and Society ze Stanford University przyznaje, że nie potrafi ocenić, czy legalnie można do wydania kluczy przymusić.

Oczywiście klucze dostawców usług to nie wszystko, czym się federalne agencje interesują. Źródła CNET-u potwierdzają, że regularnie otrzymywały żądania wydania haseł do kont użytkowników. Zwykle odrzucano je na bazie założenia, że federalni agenci nie mają prawa do korzystania z konta użytkownika – ale nikt nie potrafi powiedzieć, jak zachowywali się w świetle takich nakazów mniejsi dostawcy. W takiej sytuacji nawet fakt, że większość dostawców nie przechowuje haseł per se, ale jako skróty (hashe) do nich niewiele daje: komputerom NSA wystarczy kilkadziesiąt sekund, by odtworzyć hasło z powszechnie wykorzystywanego skrótu MD5. W tej sytuacji od firm internetowych oczekiwać można jedynie, że przestaną korzystać ze słabych skrótów, łatwych do maszynowego łamania. Badacze sugerują, że optymalnym byłoby wykorzystanie algorytmu scrypt, pozwalającego zwiększyć o nawet 4000 razy trudność siłowego ataku przeciwko skrótom, realizowanego za pomocą układów ASIC (application-specific integrated circuits).

Wtedy nawet NSA nie byłoby w stanie poradzić sobie bez działań w terenie, takich jak włamania do mieszkań i instalowanie keyloggerów na komputerach inwigilowanych osób. To zaś nie jest wcale tak łatwe, jak się przedstawia w filmach – i pozwala na zastosowanie licznych środków zaradczych. Przed jednym jednak zabezpieczyć się nie możemy: być może zbliżamy się do końca realnej użyteczności asymetrycznej (bazującej na kluczu publicznym) kryptografii. Co w zamian? Niestety tego chyba nawet najtęższe głowy wśród kryptografów powiedzieć dziś nie potrafią.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.