Магический инструмент в войне за шифрование?
Telegram News
Около трёх месяцев назад, 18 октября Европейская комиссия представила документ для борьбы с терроризмом. Однозначно «Communication from the commission to European parliament, the European council and the council» будет иметь огромное значение в мировой войне за шифрование.
На первый взгляд это довольно сбалансированный текст, который пытается примирить воду и огонь. Но дьявол прячется в деталях, и его нужно искать между строк. На 8-10 страницах этого документа излагается подход к шифрованию.
В документе неоднократно упоминается, что Комиссия поддерживает сильное шифрование и потому оно не будет «запрещено, ограничено или ослаблено». Другими словами, нет бэкдоров. Это хорошо, поскольку надежное шифрование действительно необходимо для защиты цифрового общества и приватности его граждан. Но читаем дальше.
Что предлагает Комиссия?
Более тесное сотрудничество между государствами-членами ЕС и обмен опытом на национальном уровне. Нормально. Но Комиссия также намерена поддерживать Европол в увеличении возможности дешифрования (для чего наймут 86 новых сотрудников). Кроме того, Комиссия призывает страны сотрудничать в разработке инструментария с использованием альтернативных методов расследования.
Последствия
Написание криптографических стандартов сложно. Чего стоят ошибки в SSL/TLS или недостатки в протоколе WPA2. Еще сложнее правильно применять стандарты шифрования. Добавьте проблемы с Heartbleed или Infineon, генерирующих ключи RSA. Kроме того, пользователи часто ошибаются в настройке шифрования или выборе паролей. Все эти недостатки могут быть использованы с помощью разрабатываемого инструментария.
TLS — протокол защиты транспортного уровня, как и его предшественник SSL. Эти протоколы используют асимметричное шифрование для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений.
WPA 2 — это следующее поколение систем безопасности Wi-Fi.
Более того, информация, которая зашифрована, должна в какой-то момент быть расшифрована для того, чтобы пользователь мог ее прочитать на своем устройстве. Следовательно, если вы можете взломать устройство, вы получите доступ к зашифрованной информации. Вот что делают все полицейские службы: вспомните случай с Apple против ФБР или немецкого «Bundestrojaner».
От редакции Telegram News: Российские медиа время от времени поднимают тему так называемого взлома Telegram немецкими правоохранительными органами. На деле полицией была использована уязвимость в устройстве.
Для взлома пользовательских устройств требуется найти недостатки в их безопасности и написать вредоносные программы для использования этих недостатков.
Власти сталкиваются с дилеммой: поощрять ли распространение инструментов шифрования, легко настраиваемых и надежных, но не доступных контролю?
Цифровому обществу это нужно, но неудобно властям. Поэтому если правительственные эксперты найдут новые недостатки в шифровании, они могут сохранять их в секрете, чтобы увеличить свой набор инструментов, или сделать их публичными. В первом случае они облегчают хаки для злоумышленников, которые также могут узнать об этих недостатках. Под угрозой может оказаться критическая инфраструктура (с возможными катастрофическими последствиями) или подорвать конфиденциальность граждан.
Если слабые стороны шифрования станут общедоступными, то будут устранены, что ведет к более безопасным стандартам и продуктам. Это сложное решение со многими заинтересованными сторонами. Кто примет это решение в Европе? И кто будет проверять людей, которые принимают эти решения?
В чем опасность вредоносного ПО от властей
Если правительства пишут и распространяют вредоносное ПО, проблема еще более деликатная, потому что, к сожалению, аналогия с биологическими вирусами работает. Когда вредоносная программа развернута, она часто распространяется. «Плохие парни» получат возможность модифицировать вредоносное ПО и нацеливать на хороших парней. Будут ли правительства открывать эту коробку Пандоры?
Более того, со вредоносной программой на смартфоне или в «Умном доме» можно собрать гораздо больше информации, чем когда-либо имелось в прошлом, увеличивая риск злоупотреблений. Кто будет контролировать такое вредоносного ПО? И кто будет нести ответственность, если правительственная вредоносная программа серьезно нанесет вред гражданам или компаниям?
Большинство экспертов согласны с тем, что необходимо проявлять особую осторожность. Называется ли это панель инструментов или бэкдор, нет чудо-решения, которое позволит властям читать информацию о «плохих парнях» без каких-либо последствий для всех остальных. Сопутствующий ущерб неизбежен.
Действительно ли доступ к зашифрованной информации так же важен, как заявлено
Оказывается — нет.
Сегодня смартфоны повсеместны; они собирают и распространяют огромное количество конфиденциальной информации о пользователях. Интернет-вещи с умными камерами (которые автоматически распознают людей и автомобили), умные автомобили, умные дома и умные города .... кажется — это не остановить.
Существует масса «метаданных» в этой среде: что мы читаем, с кем мы встречаемся, с кем мы разговариваем, каких места мы посетили. Власти могут получать гораздо больше информации о гражданах, чем они когда-либо. И используя сложные методы интеллектуального анализа данных, эта информация гораздо более ценна для правительств, борющихся с терроризмом, чем содержание зашифрованных сообщений.
Наоборот, необходимы значительные инвестиции для защиты данных и метаданных граждан, защищая их от злоупотреблений со стороны других граждан, компаний и правительства