Jesienią 2013 roku młody mężczyzna o imieniu Ross Ulbricht został aresztowany w bibliotece publicznej w San Francisco, rozproszony przez dwóch agentów FBI udających parę w trakcie głośnej i namiętnej kłótni. To odwrócenie uwagi okazało się kluczowe, ponieważ inny agent wkroczył, aby złapać laptopa Ulbrichta, zanim mógł go zamknąć. Gdyby Ulbricht je zamknął, dysk twardy komputera sam się zaszyfrował i znacznie utrudniłby udowodnienie sprawy rządu USA przeciwko temu człowiekowi.
Jaka była zbrodnia Ulbrichta? 29-latek prowadził internetową platformę kryminalną o nazwie Silk Road, a jego laptop pokazywał, że jest nadal zalogowany jako administrator strony i dostarczył federalnym szczegółowy dziennik każdego jego ruchu i działań przestępczych. W lutym 2015 roku został skazany za pranie brudnych pieniędzy , hakowanie i spisek w celu popełnienia handlu narkotykami. Pliki skopiowane z jego dysku twardego, zanim mogły zostać zaszyfrowane, miały kluczowe znaczenie dla oskarżenia .
Szyfrowanie wszędzie
Od czasu aresztowania Ulbrichta szyfrowanie stało się bardziej rozpowszechnione, przy czym używa go wszystko, od iPhone'ów po komunikator Facebooka. Wiele urządzeń reklamuje szyfrowanie jako punkt sprzedaży. Stanowe i federalne służby bezpieczeństwa i organy ścigania są mniej zachwycone, co nie jest zaskoczeniem. Pisząc w 2015 r. , Prokurator okręgowy hrabstwa New York Cyrus R. Vance Jr. odnotował „oskarżonych o popełnienie wszelkiego rodzaju przestępstw, w tym o gwałt, porwanie, rabunek, promowanie pornografii dziecięcej, kradzież i prawdopodobnie przez osoby zainteresowane popełnieniem aktów terroryzmu „docenili bezpieczeństwo, jakie zapewnił im system operacyjny iOS 8.
„Oskarżeni w całym kraju są głównymi beneficjentami iOS 8, a bezpieczeństwo wszystkich amerykańskich społeczności jest przez niego zagrożone” - napisał Vance.
Długotrwała kwestia została poddana szczególnej analizie w 2016 roku, po tym, jak FBI i Apple spierały się o dostęp do iPhone'a Syeda Farooka, strzelca z San Bernardino ( FBI w końcu uzyskało dostęp ). W 2017 roku FBI stwierdziło, że siedzi na prawie 7800 zaszyfrowanych urządzeniach, co do których agencja twierdziła, że zawiera dowody krytyczne dla umieszczenia większej liczby przestępców za kratkami. Agencja później skorygowała te szacunki w dół, do mniej niż 2000, pisze ZDnet .
Standoff szyfrowania
Co zrobić z tymi zaszyfrowanymi urządzeniami? Cóż, amerykański Departament Sprawiedliwości lobbował za prawem nakazującym firmom technologicznym opracowywanie narzędzi, które pozwoliłyby organom ścigania na obejście szyfrowania i dostęp do danych na urządzeniach ich klientów. Żadna taka ustawa nie została opracowana, ale agencja nadal zajmuje się tą sprawą .
Ten wysiłek nie jest bezprecedensowy. W 1993 r. Kongres rozważał wprowadzenie prawa nakazującego użycie tak zwanego „chipa Clipper”, który przechowywałby kopię klucza szyfrującego na potrzeby organów ścigania i umożliwiał odszyfrowanie zabezpieczonych plików za pomocą nakazu. Chip miał jednak poważne techniczne luki i spotkał się z ogromną reakcją, która zabiła projekt zaledwie trzy lata później.
Więc o co prosi Departament Sprawiedliwości? „[To] wzywanie firm technologicznych do opracowania rozwiązania technicznego, które pozwoli im reagować na zgodne z prawem orzeczenia sądowe bez śmiertelnego narażania bezpieczeństwa” i wspiera silne standardy szyfrowania, pisze w e-mailu rzecznik Departamentu Sprawiedliwości, który poprosił o zachowanie anonimowości.
Sposób na zrobienie tego bez narażania szyfrowania po prostu nie istnieje, napisał ekspert ds. Cyberbezpieczeństwa Matt Blaze w artykule opublikowanym w artykule Washington Post z 2015 roku . (Blaze opublikował przewodnik po lukach w układzie Clipper w 1994 r.) Ponadto takie rozwiązanie skutecznie stworzyłoby backdoora, który można by wykorzystać. To jest niezwykle ważne. Kiedy programiści stosują algorytm szyfrowania, używają biblioteki sprawdzonych podejść. Algorytmy te są opracowywane przez ekspertów, którzy mają zaawansowane stopnie naukowe z matematyki i są dokładnie testowani w środowisku naturalnym. Te same algorytmy, które szyfrują wiadomości tekstowe na iPhonie i na dysku twardym laptopa, są prawie tymi samymi rodzajami algorytmów, które szyfrują Twoje zakupy online i sesje bankowe.
Daleko idące konsekwencje
I właśnie dlatego osłabianie szyfrowania jest lekarstwem o wiele gorszym niż choroba. Opieramy się na algorytmach szyfrowania, aby zabezpieczyć nasze prywatne dane i prawie 2,8 biliona dolarów światowego rynku e-commerce. Backdoor umożliwiający osobie trzeciej odczytywanie szczegółów transakcji oznacza, że będzie wbudowany sposób podglądania niezliczonych zakupów kartą kredytową. Można go również wykorzystać do przechwytywania sesji bankowych online i innych danych osobowych przydatnych do szantażu, oszustw związanych z tożsamością i kartami kredytowymi. Obecnie tego rodzaju hakowanie wymaga nakłonienia użytkownika do udostępnienia hakerom ich komputerów i połączeń internetowych. Backdoor znacznie ułatwiłby takie podsłuchiwanie, ponieważ ofiary nie wymagałyby niczego poza korzystaniem z sieci.
Zakupy online nie byłyby już bezpieczne, ponieważ obecnie mocno zaszyfrowane transakcje byłyby trywialne do odszyfrowania. Bankowość internetowa to jak dawanie przypadkowym nieznajomym kopii wyciągów bankowych wraz z numerami kont i numerami rozliczeniowymi. I podczas gdy globalny e-commerce był pełen, terminale obsługujące karty kredytowe w tradycyjnych sklepach również byłyby poważnie zagrożone, ponieważ one również używają tych samych algorytmów do zabezpieczania danych. Gotówka stałaby się jedynym bezpiecznym sposobem kupowania rzeczy, cofając światową gospodarkę o dziesięciolecia. Nawet wtedy korzystanie z bankomatu oznacza ryzyko, że kod PIN i numery kart debetowych zostaną odczytane w łatwo dostępnej sieci.
Ale tylko rząd miałby te skróty lub szkieletowe klucze, prawda? Źle. Jeśli szyfrowanie jest osłabione w przypadku rządów, jest również osłabiane w przypadku hakerów, ponieważ skutecznie rozwiązujesz równanie, na które jest tylko jedna odpowiedź. Niemożliwe jest rozwiązanie tego samego zadania matematycznego i wymyślenie dwóch zupełnie różnych odpowiedzi w zależności od osoby rozwiązującej. A jeśli istnieje szkieletowy klucz do złamania szyfrowania na potrzeby organów ścigania, ludzie, którzy mają do niego dostęp, mogą być milionerami wielokrotnie sprzedającymi go hakerom, a niektórzy z nich nieuchronnie to zrobią.
Ze swojej strony rzecznik Departamentu Sprawiedliwości zauważa w e-mailu, że termin „backdoory szyfrowania” „jest nieprzydatny i nie jest tym, czego szuka Departament Sprawiedliwości”, dodając, że „ograniczony dostęp do treści uzyskanych zgodnie z prawem jest problemem nie tylko dla rządów, ale wzajemna odpowiedzialność za wszystkie zainteresowane strony ”. Rzecznik pisze również, że „Rządy Pięciu Oczu zachęcają dostawców usług technologii informacyjno-komunikacyjnych do dobrowolnego tworzenia zgodnych z prawem rozwiązań w zakresie dostępu do swoich produktów i usług, które tworzą lub prowadzą w naszych krajach”.
Choć z politycznego punktu widzenia wydaje się to wystarczająco anodyzne, brak szczegółowości wskazuje, że Departament Sprawiedliwości chce jakiegoś sposobu odszyfrowania danych na polecenie nakazem, mimo że eksperci ds. Bezpieczeństwa twierdzą, że taki sposób po prostu nie istnieje ze względu na zasady matematyki. Cokolwiek się stanie, jedno jest pewne: szyfrowanie pozostanie przedmiotem zaciekłych dyskusji przez wiele lat.
Teraz to jest interesujące
Five Eyes to nazwa sieci pięciu krajów, które dzielą się informacjami wywiadowczymi. Składa się z USA, Kanady, Nowej Zelandii, Australii i Wielkiej Brytanii.
