Криптографические войны

Крипто-войны — это неофициальное название попыток правительства США ограничить общественности и зарубежным государствам доступ к криптографическим методам с сильной защитой от дешифровки национальными разведывательными управлениями, особенно, американским АНБ.[1]

Примерно в 2005 году общественность объявила, что отстояла доступ к шифрованию в криптографической войне.[2] Впоследствии, утечка данных 2013 года показала, что АНБ тайно ослабило алгоритмы шифрования и стандарты безопасности, что породило новые дискуссии о необходимости шифрования данных для населения.[3] Этот, казалось бы, толчок к появлению сильного шифрования (например, для продуктов Apple) после разоблачения АНБ заставил правительство США возобновить свои требования закрыть общественности доступ к безбэкдорному шифрованию, к удивлению многих юристов, считавших эту «крипто-войну» выигранной.

Экспорт криптографии из США

Время холодной войны

В первые дни холодной войны США и их союзники разработали свод правил контроля экспорта, которые предназначались для предотвращения попадания западных технологий в чужие руки, особенно в страны Восточного блока. Экспорт некоторых товаров требовал особой лицензии. Был также создан координационный комитет по экспортному контролю (КоКом).

Под защиту попали два типа технологий: связанные с оружием, боеприпасами, а также двойного назначения: военного и торгового. В США первые контролировались Государственным департаментом, вторые — Министерством торговли. Поскольку в первое время после Второй мировой войны криптография использовалась преимущественно в военных целях, технологии шифрования, такие как способы шифрования, необходимое оборудование и, с распространением компьютеров, программное обеспечение, были включены в 13 категорию Списка Вооружений Соединённых Штатов, экспорт которых из стран Западного блока контролировался структурами КоКом.

Однако к 60-м годам финансовые организации стали требовать от властей разрешение на сильное шифрование по причине быстрого развития сферы проводных денежных переводов. В 1975 правительство США представило стандарт DES (Data Encryption Standard), который был навязан для использования всеми коммерческими структурами. Возникла проблема экспортного контроля используемых криптографических систем. Как правило, контроль предполагался через рассмотрение экспортной лицензии в каждом конкретном случае, в частности, в случае экспорта информационных систем, разработанных компанией IBM и другими крупными компаниями.

Эра персональных компьютеров

Появление персональных компьютеров послужило новым поводом для беспокойства, ситуация с экспортным контролем технологий шифрования осложнилась. Разработка криптосистемы PGP Филиппом Циммерманом в 1991 году и её растущая популярность оказались первым крупным личным вызовом существующему экспортному контролю криптографии. Рост электронной торговли в 90-х годах оказал дополнительное давление и поспособствовал снижению ограничений. Вскоре после этого технология SSL компании Netscape была принята многими как метод защиты операций с кредитными картами с помощью криптосистем с открытым ключом.

Протокол SSL использовал шифр RC4 и 128-битные ключи. Законы США не разрешают экспортировать криптосистемы, использующие 128-битные ключи.[4] Вообще западные власти вели политику двойных стандартов по отношению к шифрованию, разработанную военными криптоаналитиками. Последние были озабочены исключительно тем, чтобы «враги» не завладели государственной тайной. Но затем чиновники расширили действие этой политики и на сферу торговли, так как развитие промышленности входило в их цели.

Длина самого большого ключа, дозволенного для использования в экспортных версиях ПО, составляла 40 бит. Исходя из этого, компания Netscape разработала две версии своего браузера. Версия для потребителей внутри США предполагала использование ключа размером в 128 бит. Международная версия использовала ключ размером в 40 бит. Данное сокращение достигалось отбрасыванием 88 бит ключа протокола SSL. В результате такого разделения пользователи внутри США пришли к использованию международной версии браузера, так как использование ключа в 40 бит было гораздо производительнее, чем использование ключа в 128 бит.

В 1996 году президент Билл Клинтон подписал распоряжение о переносе коммерческого шифрования из Списка вооружений в Список торгового контроля, что означало серьёзные смягчения экспортного контроля. К этому привели судебные разбирательства Питера Юнгера и других либертарианцев и защитников конфиденциальности, широкое распространение шифрующего программного обеспечения, а также немалое число компаний, считавших, что слабое шифрование существенно ограничивают продажи и замедляют рост электронной коммерции. Кроме того, в приказе указано, что «программное обеспечение не должно рассматриваться или трактоваться как 'технология'» в смысле правил экспортного контроля. Этот закон позволял Министерству торговли США самому корректировать правила контроля, что значительно упрощало экспорт коммерческого и программного обеспечения с открытым исходным кодом, использующего методы криптографии.[5]

На текущий момент

По состоянию на 2009 год, экспорт невоенной криптографии из США контролируется Бюро промышленности и безопасности США — структурным подразделением Министерства торговли.[6] Некоторые ограничения до сих пор действуют, в том числе для массового производства, особенно в отношении экспорта в так называемые «страны-изгои» или террористические организации. Для экспорта военного криптооборудования, электроники стандарта TEMPEST, пользовательского криптографического ПО, в свою очередь, нужна лицензия. Кроме того, для экспорта ПО и компонентов с шифрованием, превышающим по длине 64 бита, требуется постановка на учёт в БПС. К примеру, для некоторых товаров предусмотрено обязательное уведомление БПС об отправке в большинство стран до её осуществления.[7] В общем говоря, по сравнению с предыдущими стандартами 1996 года, правила экспорта были в какой-то мере смягчены, но до сих пор являются достаточно сложными. Другие государства, в частности, страны Вассенаарского соглашения[8], имеют схожие с американскими ограничения.[9]

Шифрование мобильных сетей

Микросхема Clipper

Микросхема Clipper — чипсет для мобильных телефонов, разработанный в 90-х годах Агентством национальной безопасности, в котором реализуется шифрование с бэкдором. Правительство США предпринимало попытки заставить производителей телефонов внедрить эти чипсеты в производство, но эта программа не имела успеха и в 1996 году была свёрнута.

A5/1 (алгоритм шифрования для GSM)

А5/1 — это потоковый алгоритм шифрования, используемый для обеспечения конфиденциальности передаваемых данных между телефоном и базовой станцией в европейской системе мобильной цифровой связи GSM.

Росс Андерсон, исследователь безопасности, в 1994 году сообщил, что организации радиоэлектронной разведки стран НАТО в середине 80-х годов имели серьёзные расхождения во взглядах на то, должно ли быть шифрование для GSM сильным или нет. В Германии считали, что должно, что было обосновано большой протяжённостью границ со странами Варшавского договора. Но в других странах такой проблемы не существовало, и алгоритм шифрования был разработан во Франции.[10]

По словам профессора Яна Арельда Аудестада, в процессе стандартизации, который начался в 1982 году, изначально предполагалось, что длина ключа A5/1 будет равна 128 битам. В то время надёжность 128-битового ключа гарантировалась, по крайней мере, на 15 лет (впоследствии выяснялось, что к 2014 году он также сохранит надёжность). Аудестад, Петер ван дер Аренд и Томас Хауг сообщают, что в Великобритании настаивали на более слабом шифровании — там преследовали цель упростить британским спецслужбам процесс прослушки. Англичане предложили 48-битовую длину ключа, в то время, как в ФРГ требовали более сильное шифрование, чтобы обеспечить защиту от восточногерманской разведки; в итоге страны сошлись на 56-битном ключе.[11]

Попытки взлома DES

Широко использовавшийся алгоритм шифрования DES, как первоначально планировала компания IBM, должен был иметь 64-битный размер ключа, но АНБ лоббировало 48-битный ключ. Стороны пришли к компромиссу в виде 56-битной длины.[12] Около 1997 года DES многими считался ненадёжным, а обнародованные в ходе Сноуденовской утечки данных в 2013 году документы показали, что на самом деле DES легко взламывался АНБ, но до сих пор был рекомендован Национальным институтом стандартов и технологий. Для того чтобы подчеркнуть недостаток надёжности DES, RSA Security организовала конкурс по его взлому, и в конечном итоге шифр был взломан методом «грубой силы». Специально для этого компания EEF сконструировала компьютер Deep Crack.

Успешный взлом DES, по всей видимости, помог собрать как политическую, так и техническую поддержку для получения доступа простыми гражданами к более продвинутому шифрованию.[13]

Программа Bullrun

Опасаясь повсеместного внедрения шифрования, АНБ вознамерилось тайно ослабить стандарты и получать мастер-ключи либо по соглашению, с помощью закона, либо вмешательством в компьютерные сети, то бишь взломом.[14]

В газете New York Times говорилось, что к 2006 году АНБ отметилось взломом частных сетей трёх иностранных авиакомпаний, базы туристической компании, зарубежного ядерного центра и ещё интернет-сервисов. К 2010 году Edgehill, британская дешифровальная программа, успела отследить трафик в 30 VPN сетях и поставила аналогичные цели ещё на 300 сетей.[15]

В рамках программы Bullrun — американского аналога Edgehill — АНБ также активно работала над внедрением уязвимостей в коммерческие системы шифрования, информационные системы, сети и пользовательские устройства.[16] The New York Times сообщила, что генератор случайных чисел Dual_EC_DRBG содержит бэкдор от АНБ, который позволял агентству ломать ключи, генерируемые ГСЧ.[17] И хотя Dual_EC_DRBG считался медленным и небезопасным, и в 2007 году был найден потенциальный бэкдор от АНБ, а другие генераторы случайных чисел без этих недостатков были сертифицированы и широко доступны, этот ГСЧ продолжал использоваться, в том числе компанией RSA Security, которая полагалась на Dual_EC_DRBG до сентября 2013 года. После отказа от Dual_EC_DRBG из-за бэкдора возник вопрос, а почему он вообще использовался в период с 2007 года, когда не осталось сомнений, что данный ГСЧ содержит такой недостаток, по 2013 год,[18] однако 20 декабря 2013 года появилась информация, что RSA Security получила от АНБ 10 миллионов долларов за то, чтобы она использовала Dual_EC_DRBG.[19][20] В обнародованных документах АНБ говорилось, что в конце концов, оно стало единоличным редактором стандартов.

В 2010 АНБ разработало «революционные возможности» для взлома Интернет трафика. Однако документ Центр правительственной связи предупредил, что «эти возможности» сопряжены с уязвимостями в сфере радиоэлектронной разведки. Другой инсайдерский документ предупреждал о том, что информация о существующих возможностях не должна быть раскрыта. Некоторые эксперты, в том числе Брюс Шнайер и Кристофер Согоян, полагают, что успешная атака на RC4 алгоритм, разработанная в 1987 году, до сих пор используется по меньшей мере в 50 процентах всех атак на SSL / TLS трафик. Другие эксперты предположили, что NSA имеет возможность взломать публичные ключи размером в 1024 бита протоколов Диффи-Хеллмана и RSA.[21]

Осуществление программы Bullrun было спорным в том смысле, что АНБ намеренно внедряло скрытые уязвимости которые влияли на защищенность систем как и обычных граждан США, так и предполагаемых целей анализа АНБ. В то время АНБ ставило перед собой две задачи: предотвращение уязвимостей, которые могли вредить США, и находить уязвимости, которые можно было бы использовать для раскрытия информации предполагаемых целей анализа АНБ. Однако, по словам Брюса Шнайера, АНБ ставило в приоритет скрытый поиск уязвимостей или даже их создание.

См. также

Примечания

  1. The Crypto Wars: Governments Working to Undermine Encryption. Electronic Frontier Foundation.
  2. The Crypto Wars are Over!. fipr.org.
  3. Has the NSA Won the Crypto Wars?. itif.org.
  4. SSL by Symantec - Learn How SSL Works - Symantec. verisign.com.
  5. EPIC copy of document from US Department of Commerce. (January 2000). Дата обращения: 6 января 2014.
  6. Robin Gross. Regulations (недоступная ссылка). gpo.gov. Дата обращения: 19 декабря 2015. Архивировано 3 декабря 2010 года.
  7. U. S. Bureau of Industry and Security - Notification Requirements for "Publicly Available" Encryption Source Code (недоступная ссылка). Bis.doc.gov (9 декабря 2004). Дата обращения: 8 ноября 2009. Архивировано 21 сентября 2002 года.
  8. Participating States Архивировано 27 мая 2012 года. The Wassenaar Arrangement
  9. Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies: Guidelines & Procedures, including the Initial Elements Архивная копия от 14 мая 2011 на Wayback Machine The Wassenaar Arrangement, December 2009
  10. Ross Anderson (1994-06-17). "A5 (Was: HACKING DIGITAL PHONES)". uk.telecom. (Google Groups).
  11. Sources: We were pressured to weaken the mobile security in the 80's. Aftenposten.
  12. Stanford Magazine. Keeping Secrets. Medium.
  13. Brute Force. google.com.
  14. N.S.A. Able to Foil Basic Safeguards of Privacy on Web — The New York Times
  15. N.S.A. Able to Foil Basic Safeguards of Privacy on Web — The New York Times
  16. Secret Documents Reveal N.S.A. Campaign Against Encryption, New York Times.
  17. New York Times provides new details about NSA backdoor in crypto spec. Ars Technica.
  18. Matthew Green. RSA warns developers not to use RSA products.
  19. Menn, Joseph. Exclusive: Secret contract tied NSA and security industry pioneer, San Francisco: Reuters (December 20, 2013). Архивировано 24 сентября 2015 года. Дата обращения 20 декабря 2013.
  20. Reuters in San Francisco. $10m NSA contract with security firm RSA led to encryption 'back door' | World news. theguardian.com (20 декабря 2013). Дата обращения: 23 января 2014.
  21. Lucian Constantin. Google strengthens its SSL configuration against possible attacks. PCWorld (19 November 2013).
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.