Odborníci prelomia plán Raya Ozzieho na odomykanie šifrovaných telefónov

Je rok 2018 a stále hovoríme o kryptografických zadných vrátkach. Je to zlý nápad, ktorý jednoducho nezomrie.

Ale nebojte sa: Bývalý výkonný riaditeľ Microsoftu si myslí, že dokáže poraziť mŕtveho koňa s nie tak novým nápadom, ktorý všetkým ostatným trvalo asi deň, kým sa roztrhali.

Ray Ozzie, ktorý naposledy pôsobil ako hlavný softvérový architekt Microsoftu, odhalil svoj nápad nechať políciu a orgány činné v trestnom konaní do šifrovaných telefónov a zariadení. v zdĺhavom Drôtové článok.

Šifrovanie zariadení už dlho trápilo políciu a federálov, ktorí chcú získať prístup k údajom na uzamknutých zariadeniach. Orgány činné v trestnom konaní majú

tlačené technologické spoločnosti na vyriešenie problému -- dokonca aj tým spôsob, ako ich žalovať. Odborníci na bezpečnosť však tvrdia, že pridanie bezpečných zadných vrátok k zariadeniam nie je možné, pretože môžu byť buď hacknuté alebo zneužité.

V súčasnosti sa výrobcovia telefónov vystrihli zo slučky tým, že umožnili majiteľom telefónov zašifrovať svoje zariadenia pomocou prístupových kódov, aby sa k nim nedostali ani výrobcovia.

Ozzieho nápad, ktorý nazval Clear, je systém, ktorý od výrobcov telefónov vyžaduje, aby sa úmyselne vrátili do slučky pomocou systému známeho ako úschova kľúča.

Jeho nápad funguje takto: Výrobca telefónov, ako napríklad Apple alebo Google, vygeneruje verejný a súkromný kľúč pre každý telefón. Verejný kľúč sa dostane do telefónu a súkromný kľúč do bezpečného trezoru v sídle výrobcu telefónu. Keď vlastník telefónu nastaví prístupový kód, zašifruje ho pomocou verejného kľúča telefónu. Ak bude niekedy polícia potrebovať prístup k telefónu, môže získať príkaz a potom pomocou nejakého zariadenia naštartovať telefón režim obnovenia iba pre políciu, ktorý úmyselne zablokuje telefón, aby zabránil komukoľvek inému získať prístup k nemu údajov. Polícia potom môže získať zašifrovaný prístupový kód používateľa. Polícia poskytne tento zašifrovaný prístupový kód výrobcovi telefónu, ktorý odovzdá zodpovedajúci súkromný kľúč telefónu z ich trezora. Po spárovaní verejného a súkromného kľúča bude prístupový kód telefónu dešifrovaný, čo umožní prístup k telefónu.

Úschova kľúčov je pekná myšlienka, až na to, že sa to už robilo predtým a nikdy nefungovalo – hlavne preto, že zákony si môžu systém ľahko uzurpovať.

Drôtové článok bol ľahší na kritiku, ale pokarhanie od bezpečnostných expertov a kryptografov bolo ťažké.

Rob Graham, výkonný riaditeľ Errata Security, povedal v príspevku že Ozzieho nápad je "len vyriešiť tú časť, ktorú už vieme vyriešiť" a "zámerne ignorovať veci, ktoré nevieme vyriešiť."

„Vieme robiť zadné dvierka, len ich nevieme zabezpečiť,“ povedal.

Povedal to Matthew Green, profesor kryptografie na Johns Hopkins blogový príspevok že „dôvod, prečo je tak málo z nás ochotných staviť na rozsiahle systémy úschovy kľúčov je ten, že sme o tom uvažovali a nemyslíme si, že to bude fungovať.“

„Ozzieho návrh sa v zásade spolieha na schopnosť výrobcov zabezpečiť obrovské množstvá mimoriadne cenný kľúčový materiál proti najsilnejším a najvynaliezavejším útočníkom na planéte,“ povedal povedal.

"A nielen bohaté spoločnosti ako Apple," povedal. „Hovoríme aj o spoločnostiach, ktoré vyrábajú lacné telefóny a majú nižšiu ziskovú maržu. Hovoríme aj o mnohých zahraničných spoločnostiach, ako sú ZTE a Samsung.“

Aj keď existujú podstatné technické dôvody, prečo by Ozzieho nápad nefungoval, politické dôvody sú rovnako desivé.

Riana Pfefferkorn, členka kryptografie na Stanford Law School, ktorá začiatkom tohto roka napísal bielu knihu o „zodpovednom šifrovaní“ uviedol, že systém by mohol ohroziť občianske slobody a ľudské práva.

V USA vás k tomu môžu prinútiť orgány činné v trestnom konaní použite odtlačok prsta alebo naskenujte svoju tvár, aby ste získali prístup k telefónu a prehľadali ho. Títo dochádza k biometrickým záchvatom častejšie, ako si možno uvedomujete. Nemôžete však byť legálne nútení odomknúť zariadenie iba pomocou prístupového kódu, pretože chráni piaty dodatok čo máte uložené v hlave, ale nie to, čo máte na tele.

„Ak by bol Ozzieho návrh zrealizovaný, polícii by to umožnilo oprieť sa o vás, aby ste im otvorili telefón,“ povedala. v blogovom príspevku. „Ozzieho schéma by v podstate vyžadovala samodeštrukčnú funkciu v každom predanom smartfóne bez ohľadu na jeho návrh sa stal zákonom, ktorý by sa odvolával tisícky a tisíckrát ročne, bez akejkoľvek kompenzácie vlastníkom."

"Tento návrh si nezaslúži, aby sme ho brali vážne - v každom prípade nie v demokracii," povedala.

Dokonca aj bez ohľadu na technické a politické problémy by Ozzieho systém musel fungovať bilaterálne - a zahŕňať krajiny, kde sídlia populárni výrobcovia telefónov.

Ako poznamenal Graham, technológia je bez hraníc, ale zákony a ľudské práva nie. Systém by sa dal použiť na pomoc krajinám ako Čína alebo Rusko, kde je ľudských práv málo a sú veľmi vzdialené, získať prístup k telefónu kohokoľvek.

„Riešenie v Spojených štátoch, ktoré umožňuje 'legitímne' žiadosti orgánov činných v trestnom konaní, nevyhnutne bude používané represívnymi štátmi na to, o čom sa domnievame, že by to boli „nelegitímne“ žiadosti orgánov činných v trestnom konaní,“ povedal Graham.

K podobnému záveru dospel Steve Bellovin, výskumník z Kolumbijskej univerzity v blogovom príspevku.

"Možno existuje riešenie, možno nie - ale návrh o tejto otázke mlčí," povedal.

Ozzie tweetoval - po Greenovej kritike - že "ústrednou otázkou je otázka politiky a dúfam, že sa to môže dostať do popredia hlasnejšie."

Ústrednou otázkou však nie je politika, ale technická – a technológovia už dlho tvrdia, že v kryptografickej komunite neexistuje nič také ako „bezpečné zadné vrátka“, oxymoron.

Kým to politici a orgány činné v trestnom konaní neprijmú, budeme stále prichádzať so zlými nápadmi ako Ozzieho.