Недавно в новостях ФБР была кампания, направленная на то, чтобы заставить технологические компании модифицировать свои методы шифрования. чтобы упростить отслеживание сообщений пользователей. По мнению ФБР, это обычное изменение: в конце концов, преступники полагаются на эти зашифрованные услуги для тайного общения, и конституция предоставляет им право на изъятие информации (например, писем и документов) при предъявлении законного ордера.
Так почему бы не дать ФБР возможность читать зашифрованные документы?
Если мы не предпримем эти шаги, ФБР предупреждает, что преступники и террористы будут продолжать «темнеть» — перевести свой трафик на платформы анонимных сообщений, которые не могут быть точно отслежены. Это, говорят они, оставляет баланс сил в руках плохих людей. Правительство Соединенного Королевства сделало аналогичные страшные предупреждения,
По словам директора ФБР Джеймса Коми :
«МО ИГИЛ состоит в том, чтобы транслировать в Твиттере, заставлять людей следить за ними, а затем переводить их в Twitter Direct Messaging», чтобы оценить, являются ли они законным рекрутом, сказал он. «Затем они переместят их в зашифрованное мобильное приложение для обмена сообщениями, чтобы они пошли нам навстречу».
ФБР не делает пустых болтовни, либо. Следующая битва в войне за конфиденциальность происходит, в основном, в тайне, в Apple, Inc. Генеральный директор Тим Кук делает все более злые заявления о конфиденциальности пользователей, включая следующие :
«[T] здесь были слухи и вещи, которые пишутся в прессе, что люди имели черные ходы на наших серверах. Все это не правда. Нуль. Мы бы никогда этого не допустили. Они должны были вывезти нас в коробке, прежде чем мы это сделаем ».
Некоторое время ходили слухи о том, что ФБР пытается оказать давление на компанию, чтобы она добавила «черный ход» к шифрованию в своих продуктах и услугах (таких как iPhone и iMessaging). Теперь есть некоторые публичные доказательства того, что это происходит. Министерство юстиции издало судебный приказ Apple, требуя, чтобы они передавали журналы обмена сообщениями в режиме реального времени между двумя подозреваемыми по делу о преступлениях, связанных с оружием и наркотиками. Apple отказалась, заявив, что даже они не могут взломать пользовательское шифрование — в конце концов, в этом суть.
Ответ от ФБР и DoJ состоял в том, что они рассматривают возможность подать в суд на Apple — по-видимому, чтобы попытаться получить судебный приказ, чтобы заставить компанию взломать их шифрование. ZDNet предупреждает, что если это произойдет, Apple может быть вынуждена капитулировать. Это было бы не в первый раз, когда подобное происходило: в 2014 году Yahoo наконец-то смогла обсудить свои секретные судебные разбирательства в FISA с PRISM, программой государственного надзора, раскрытой Эдвардом Сноуденом, , еще в начале 2000-х годов. Когда компания отказалась передавать пользовательскую информацию, Yahoo столкнулась с огромными тайными штрафами — 250 000 долларов в день, удваивающимися каждый месяц. Для контекста, ежедневный штраф превысил бы мировой ВВП в 74 триллиона долларов всего за два года.
Проблемы реализации
Даже игнорируя различные моральные и конституционные проблемы такого рода вещей, есть также много технических проблем с предложением. С тех пор, как ФБР начало настаивать на своих «черных дверях» для шифрования, ряд исследователей в области безопасности пришли к выводу о некоторых основных недостатках всей концепции.
Для начала, любой специалист по безопасности в области безопасности скажет вам, что «безопасных бэкдоров», которые хочет Comey, на самом деле не существует. Директор Федеральной торговой комиссии прямо заявил, что это плохая идея. Невозможно оставить черный ход в любой надежной схеме шифрования, не нанеся серьезного ущерба общей безопасности. Криптосистемы, обладающие этим свойством, просто не существуют . Криптография — это не то, что можно завещать.
У TechDirt есть довольно замечательная статья, разрывающая эту идею на части. Выбор цитаты:
«[Я] ошеломляюще, что Коми настаивает на том, что эти светлые умы в Силиконовой долине могут посыпать пыль волшебной пикси и дать ему то, что он хочет, но в то же время утверждает, что ФБР слишком сложно на самом деле количественно определить, насколько велика проблема шифрование для его расследования. Более того, он даже не может привести ни одного реального примера, где шифрование было настоящей проблемой ».
Даже если такая система может быть создана, есть еще один серьезный недостаток: мы дадим этот ключ правительству . То же правительство, которое не может даже обеспечить безопасность своих личных кадровых данных. , и прошли месяцы или годы, не замечая, что их взломали. Эдвард Сноуден, подрядчик, рассказал подробности о наиболее чувствительных сделках АНБ. Как вы думаете, сколько часов понадобится китайскому правительству, чтобы получить копию ключа? Сколько дней до его появления в темной сети и любой полукомпетентный хакер может получить доступ к банковскому счету любого человека? Стандарты компьютерной безопасности в американском правительстве даже не настолько хороши, чтобы доверить им безопасность всего Интернета.
Ложные цели
Тем не менее, существует более серьезная проблема, которая прямо связана с сущностью всего аргумента: а именно, что такого рода черные ходы на самом деле не решают проблему, которой, по-видимому, обеспокоены ФБР. Обоснование ФБР зависит от серьезных угроз — не от сделок с наркотиками и похитителей кошельков, а от террористов и торговцев людьми. К сожалению, эти люди будут меньше всего затронуты этими бэкдорами.
Террористы и преступники не знают о шифровании. Те, кто использует шифрование, делают это специально, чтобы избежать слежки. Наивно думать, что они не заметят, когда ФБР удастся получить какой-то черный ход. Террористы и торговцы оружием не просто собираются продолжать использовать iMessenger с резервным копированием — они собираются перейти на зашифрованные программы чатов. обезопасить и зашифровать чаты обезопасить и зашифровать чаты разработанные в других странах, или о программном обеспечении с открытым исходным кодом, безопасность которого они могут проверить. Те, кто уязвим к бэкдорам, будут слишком неосведомленными, чтобы использовать лучшую компьютерную безопасность — иначе говоря, мелкие преступники и большинство законопослушных граждан.
Криптографические бэкдоры гораздо полезнее для слежки за вашей бабушкой, чем для слежки за ИГИЛ, и ФБР, вероятно, знает об этом. Так что принимайте их страшные предупреждения о террористах с крупицей соли о размерах Юты.
ФБР, разумеется, будет утверждать, что для законопослушных граждан не возникает проблем с неприкосновенностью частной жизни. В конце концов, им все еще нужен ордер для доступа к этой информации, так же, как они обыскивают ваш дом или картотеку. Тем не менее, это не неинформированные, невинные дни до утечки Сноудена.
Мы знаем о существовании секретных судов, которые выдают секретные ордера на основе секретных доказательств . Эти суды не отказывают в выдаче ордеров, потому что это не их цель. Они резиновые штампы во всем, кроме имени. Просить нас доверить нашу конфиденциальность такой системе активно оскорбительно.
Вот эксперт по безопасности Брюс Шнайер выражая аналогичную точку зрения в своем блоге, Schneier on Security,
«Представь, что Коми получил то, что хотел. Представьте, что у iMessage, Facebook, Skype и всего остального, сделанного в США, был свой черный ход. Оперативник ИГИЛ скажет своему потенциальному новобранцу использовать что-то еще, что-то безопасное и не произведенное в США. Может быть, программа шифрования из Финляндии, или Швейцарии, или Бразилии. Может быть, Секреты Моджахедов . Может быть что угодно.
История наблюдения
Это не первый раз, когда различные правительственные учреждения пытаются что-то подобное. В 1990-х годах администрация Клинтона попыталась заставить техническую индустрию установить в свои устройства оборудование для наблюдения — так называемый «чип Clipper», который позволил бы правительственным учреждениям обойти надежное шифрование.
В этом случае в системе также были обнаружены уязвимости, делающие устройства менее безопасными и позволяющие преступникам в любом случае обойти их. Предложение было отклонено. В анализе, озаглавленном « Ключи под ковриками: обеспечение безопасности, требуя правительственного доступа ко всем данным и коммуникациям », более дюжины исследователей в области безопасности высказывают мнение, что новое предложение будет еще хуже. Из аннотации:
«Двадцать лет назад правоохранительные организации лоббировали требование данных и коммуникационных услуг для разработки своих продуктов, чтобы гарантировать правоохранительным органам доступ ко всем данным. После долгих дебатов и энергичных прогнозов о том, что каналы правоприменения станут мрачными, эти попытки отрегулировать возникающий Интернет были прекращены.
За прошедшие годы инновации в Интернете процветали, и правоохранительные органы нашли новые и более эффективные средства доступа к значительно большему количеству данных. Сегодня мы снова слышим призывы к регулированию, предусматривающие предоставление механизмов исключительного доступа.
В этом отчете группа ученых-компьютерщиков и экспертов по безопасности, многие из которых участвовали в исследовании этих же тем в 1997 году, собралась для изучения возможных последствий введения чрезвычайных мандатов доступа. Мы обнаружили, что ущерб, который может быть вызван исключительными требованиями правоохранительных органов, сегодня будет еще больше, чем 20 лет назад ».
Слишком много для слишком мало
Подводя итог: бэкдоры шифрования — плохая идея, технически и практически. Они не решают большие проблемы правоохранительных органов, но создают новые для потребителей и всех, кто зависит от безопасности. Заставить их работать в отрасли будет невероятно дорого, и мы почти ничего не получим взамен. Это плохая идея, предложенная недобросовестно. И, если повезет, растущий шум голосов против этой идеи снова остановит их.
Что вы думаете? Должно ли правительство иметь право взломать шифрование? Дайте нам знать ваши мысли в комментариях!
Кредиты Изображения: блокирование дверного проема Mopic через Shutterstock