Обяснени криптографски задни врати
Криптографията е далеч един от най-важните теми в информационната ера. Всеки път, когато влезете някъде, има алгоритъм от някакъв вид, който потвърждава паролата ви срещу хешаундна стойност, която определя дали можете да се идентифицирате в профила си или не. Ето как държим хакерите встрани. И така, какво се случва, когато алгоритъмът, който трябва да ви пази в безопасност, има вратичка, която позволява на определени хора да имат неограничен достъп до вашите акаунти и лични записи?
На 19 май 2015 г. Apple и Google призоваха американския президент Барак Обама да преразгледа принуждаването на технологичните компании от частния сектор да включат обратно в своите криптографски алгоритми. Целта ми е да обясня как това ни влияе като на потребителите на технологии и на крайните линии на корпорациите, които ни предоставят тази технология.
Малко история: Dual_EC_DRBG
Бихте могли да бъдете простени, ако терминът "Dual_EC_DRBG" звучи като неприлично безразсъдно към вас, но това е може би термин, обвързан с един от най-големите скандали в историята на криптиращата технология. Нашата история започва в началото на 2000-те, когато елиптичната крива криптография започва да се вкоренява в компютърните системи. Дотогава генерирането на произволен номер представляваше болка поради присъщата му предсказуемост. Виждате ли, хората могат да генерират произволни номера много ефективно, тъй като ние всички мислим по различен начин. Можеш ли да кажеш кое число между 1 и 100 хиляди мисля за момента? Имате шанс от 1: 100, 000 да получите правилния отговор, ако само предполагате произволно. Това не е същото за компютрите. Те са напълно ужасни, тъй като те обикновено разчитат на други фиксирани ценности, за да стигнат до своите "заключения". Тъй като те не могат да "мислят", ние трябва да синтезираме процеса за тях. Криптографията на елиптичната крива прави процеса на генериране на случайно число много по-малко предсказуем от конвенционалните методи.
Обратно към историята. Агенцията за национална сигурност (NSA) избута модула наречен Dual_EC_DBRG като възможност за генериране на тези номера. Това не беше минало.
Това обаче не свършва там. През 2004 г. NSA сключи сделка от 10 млн. Долара с създателите на криптосистемата RSA (хората, които по това време са имали най-голям пазарен дял в криптографията), за да направят своя модул за домашни любимци по подразбиране за RSA. Не знаем дали NSA включваше вратичката, но Dual_EC_DRBG определено имаше такава. Фактът, че NSA беше толкова настоятелен за включването на този модул в криптографията RSA, не помага на делото срещу предварително познаване.
Бързо напред до 2015 г. и сега имате правителството на САЩ, както и други правителства по целия свят, които да поискат от частните компании да включат задните си криви алгоритми.
Защо задните стени са лоши за всички останали
Може би вече имате представа защо задните врати са лоши. Това не е мозък, нали? Работата е там, че има други невидими последици за въвеждането на скривалището за криптиране, освен навлизането на неприкосновеността на личния живот от страна на правителствените организации.
На първо място, ако хакерът открие задната вратичка (точно както стартира по-горе споменатото по-горе Dual_EC_DBRG фиаско), можете просто да гарантирате, че всеки може да го използва, за да ви поглези неща, които са много лични за вас.
Втората причина, поради която задните врати са ужасни, може най-добре да бъде изразена под формата на въпрос: Знаейки, че не само правителството, но и всеки Джон Дой, може да погледне личните ви данни, бихте ли отворили някога сметка навсякъде другаде? Хората разчитат на технологии точно сега, защото вярват в тях. Премахнете доверието и ще видите много малко клиенти на корпоративния пазар. Да, потребителите все още могат да използват криптирани и свързани технологии, но бизнесите ще се откажат. Много от нашите любими производители разчитат в голяма степен на своите бизнес-бизнес клиентски бази.
Така че не само тази идея е лоша за потребителите, но и лошата за долната линия на бизнеса, която ни предоставя нещата, които обичаме. Ето защо гиганти като Apple и Google са толкова загрижени за тези правила.
Какво мислиш, че трябва да направим? Възможен ли е закон за това дори да е приложим? Кажете ни в коментар!