הקריקטוגרפי Backdoors המוסברים
קריפטוגרפיה היא ללא ספק אחד הנושאים החשובים ביותר בעידן המידע. בכל פעם שאתה מתחבר למקום כלשהו, יש אלגוריתם כלשהו המאמת את הסיסמה שלך כנגד ערך hashed שקובע אם אתה יכול לאמת את החשבון שלך או לא. זה איך אנחנו שומרים האקרים במפרץ. אז מה קורה כאשר האלגוריתם זה אמור לשמור עליך בטוח יש אחורית המאפשרת לאנשים מסוימים יש גישה ללא הפרעה חשבונות שלך רשומות אישיות?
ב -19 במאי 2015, קראו אפל וגוגל לנשיא ארה"ב, ברק אובמה, לשקול מחדש את חברות הטכנולוגיה במגזר הפרטי, כך שיכללו את הקורות האחוריות באלגוריתמים הקריפטוגרפיים שלהן. אני שואף להסביר איך זה משפיע עלינו כצרכנים של הטכנולוגיה ואת השורה התחתונה של תאגידים המספקים לנו את הטכנולוגיה אמר.
קצת היסטוריה: Dual_EC_DRBG
אתה יכול להיות נסלח אם המונח "Dual_EC_DRBG" נשמע כמו ג 'יבריש לך, אבל זה אולי מונח קשור לאחד השערוריות הגדולות ביותר בהיסטוריה של טכנולוגיית ההצפנה. הסיפור שלנו מתחיל בתחילת שנות ה -2000, כאשר קריפטוגרפיה אליפטית עקומה החלה להכות שורש במערכות מחשב. עד אז, יצירת מספר אקראי היה כאב בגלל יכולת הניבוי הטבועה בו. אתם מבינים, אנשים יכולים לייצר מספרים אקראיים ביעילות רבה, שכן כולנו חושבים אחרת. אתה יכול להגיד מה מספר בין 1 ל 100, 000 אני חושב על עכשיו? יש לך סיכוי של 1: 100, 000 לקבל את התשובה הנכונה אם אתה רק לנחש באופן אקראי. זה לא אותו דבר עם מחשבים. הם איומים כל כך מכיוון שהם בדרך כלל מסתמכים על ערכים קבועים אחרים כדי להגיע ל"מסקנות שלהם ". מכיוון שהם אינם יכולים" לחשוב ", עלינו לסנתז את התהליך עבורם. עקומת אליפטית קריפטוגרפיה עושה את התהליך של יצירת מספר אקראי הרבה פחות צפוי מאשר שיטות קונבנציונאלי.
בחזרה לסיפור. סוכנות הביטחון הלאומי (NSA) דחפה מודול שנקרא Dual_EC_DBRG כאפשרות להפקת מספרים אלה. זה לא עבר.
אבל זה לא נגמר. ב -2004, ה- NSA ביצע עסקה של 10 מיליון דולר עם יוצרי ה- RSA cryptosystem (האנשים שבאותו זמן היו נתח השוק הגדול ביותר בקריפטוגרפיה) כדי להפוך את מודול המחשבים שלהם לברירת המחדל עבור RSA. אנחנו לא יודעים אם NSA כללה את הדלת האחורית, אבל Dual_EC_DRBG בהחלט היה אחד. העובדה כי NSA היה כל כך מתעקש על זה כולל מודול ב RSA קריפטוגרפיה לא עוזר במקרה נגד ידע קודם.
מהר קדימה ל 2015, ועכשיו יש לך את ממשלת ארה"ב, כמו גם ממשלות אחרות ברחבי העולם בא קדימה לשאול חברות פרטיות לכלול backdoors לאלגוריתם ההצפנה שלהם.
למה Backdoors רע לכולם
אולי כבר יש לך מושג למה backdoors רע. ללא שם: הוא לא brainer, נכון? העניין הוא שיש תוצאות בלתי נראות אחרות להציג backdoors כדי הצפנה מלבד הפלישה לפרטיות על ידי גופים ממשלתיים.
קודם כל, אם האקר מגלה את הדלת האחורית (וזה בדיוק איך את הפיאסקו Dual_EC_DBRG שהוזכר קודם לכן נכתבו), אתה יכול רק להבטיח כי כל אחד יכול לנצל את זה כדי להציץ דברים שהם מאוד פרטיים לך.
הסיבה השנייה מדוע backdoors הם נורא יכול להתבטא בצורה הטובה ביותר בצורה של שאלה: בידיעה כי לא רק הממשלה, אבל כל Doe, יכול להעיף מבט על הנתונים הפרטיים שלך, היית אי פעם לפתוח חשבון בכל מקום אחר? אנשים מסתמכים על הטכנולוגיה עכשיו כי הם בוטחים בה. לחסל את האמון, ואתה תראה מעט מאוד לקוחות בשוק הארגון. כן, הצרכנים עדיין עשויים להשתמש בטכנולוגיות מוצפנות ומחוברות, אבל עסקים הולכים לבטל את הסכמתם בהמוניהם. הרבה מהיצרנים האהובים עלינו מסתמכים בכבדות על בסיס הלקוחות שלהם לעסק.
אז, לא רק זה רעיון רע עבור הצרכנים, אבל גם רע בשורה התחתונה של עסקים המספקים לנו את הדברים שאנחנו אוהבים. לכן ענקים כמו אפל וגוגל מודאגים כל כך על מדיניות זו.
מה אתה חושב שאנחנו צריכים לעשות? האם חוק אפשרי זה אפילו אכיפה? ספר לנו הערה!