上个月,美国司法部长威廉·巴尔复活政府呼吁科技公司:提供具有可靠的“安全”方法的执法,可以访问,解读和读取存储在设备上的加密数据并跨安全消息服务。
BAR要求,以更准确,更令人不不说的条件,为科技公司开发加密后门到自己的服务和产品。拒绝赞同任何单一的实施策略,律师将军代替对网络安全研究人员和技术人员的责任。
司法部长巴尔说:“我们相信,有技术解决方案可以让执法部门合法访问加密数据和通信,而不会实质上削弱加密提供的安全性。”
网络安全研究人员,轻轻地说,不同意。对于许多人来说,将后门安装到加密的想法是对加密的非常目的安全性的反向。
Matt Blaze,Cybersecurity研究人员和宾夕法尼亚大学分布式系统实验室主任推动了律师将军的讲话。
Blaze在Twitter上写道:“作为一个30多年来一直致力于保障网络安全的人,不得不反复思考‘为什么你不能削弱你拥有的一个真正有用的工具’这种无稽之谈,这让人筋疲力尽。”他继续说:
“是的,我理解为什么执法人想要这个。他们也有真实的,重要的问题,如果一个人存在,魔法解密魔杖肯定会帮助他们。但是时间旅行,传送和隐形斗篷。让我们坚持基于现实的世界。“
大火被其他网络安全研究人员的唱和网上,其中包括约翰霍普金斯大学副教授马修·格林,谁说白了:“有是在表上没有安全后门的解决方案。”
后门的问题是已知的 - 任何备用频道,毫无疑问地被另一方发现,访问并被另一方滥用。网络安全研究人员多年来一直认为,当谈到加密技术时,削弱无数个体安全性的风险太高。
今天加密
在2014年,苹果公司推隐私的新标准。随着推出的iOS 8移动操作系统那年,不再将公司能够访问加密数据存储在它的消费电子设备。如果公司没有密码的设备的锁定屏幕,它根本无法访问设备中的内容。
该公司表示:“在运行iOS 8的设备上,你的照片、消息(包括附件)、电子邮件、联系人、通话记录、iTunes内容、笔记和提醒等个人数据都受到密码的保护。”
同样的标准如今也适用于iOS设备,包括最新的iPhone机型。设备上的数据默认是加密的,任何访问这些数据的尝试都需要设备的密码。对于Android设备,大多数用户都可以选择加密本地存储的数据,但默认情况下这一功能不会开启。
iOS 8发布不到两年,苹果就陷入了一场混战。
继圣贝纳迪诺2015年的恐怖射击,苹果击中联邦调查局,它正在调查袭击的僵局。苹果公司说,这是无法访问被攻击者所拥有,而苹果也拒绝建立一个版本的移动操作系统,将允许执法访问手机的iPhone 5C设备上发送的消息。
虽然联邦调查局最终依赖于第三方承包商来破解iPhone 5C,因此,IOS和Android的众多消息传递应用程序为用户提供了端到端加密,甚至锁定了访问发送消息的第三方公司和谈话。
信号,WhatsApp的,和所有的iMessage提供此功能的用户。
由于不能打乱,为刑事调查访问潜在的重要证据,联邦政府,多年来,推动一项运动,高科技公司说服会,据称,只能由执法机构使用的构建后门。
网络安全研究人员表示,问题在于这些后门不会保留在预定的用途上。
后门崩溃
1993年,比尔克林顿总统的政府主席提出了一个监测美国人对话的技术计划。在政府通信网络中安装将是一个名为“Clipper Chips”的设备,如果正确使用,哪个,如果正确使用,只允许执法机构在某些电话上倾听。
但正如Blaze(上个月批评司法部长巴尔言论的同一家网络安全研究机构)所揭示的那样,问题还是存在的。
在A.详细分析了Clipper Chip系统,火焰发现闪耀的漏洞,使得实际的,内置后门进入,可以规避。
到1996年,通过了Clipper芯片的被放弃了。
多年以后,网络安全研究人员目睹了其他借壳失败,而不仅仅是加密。
2010年,网络安全专家史蒂芬Bellovin,谁帮助火焰在他的Clipper芯片分析 -警告读者希腊的惨败2005年,一名黑客利用了一种本应只由警方使用的机制。
“在这种类型的最臭名昭著的事件,在希腊的手机开关被不认识的人砍死。The so-called ‘lawful intercept’ mechanisms in the switch—that is, the features designed to permit the police to wiretap calls easily—was abused by the attacker to monitor at least a hundred cell phones, up to and including the prime minister’s,” Bellovin wrote. “This attack would not have been possible if the vendor hadn’t written the lawful intercept code.”
在2010年,网络安全研究员布鲁斯责备谷歌对于苦难据报道来自中国黑客的入侵谁希望看到其哪些政府代理商受到美国智力的监督。
据施奈尔介绍,中国黑客能够因谷歌的致命缺陷而访问敏感的电子邮件,该公司将后门纳入其电子邮件服务。
“为了遵守政府对用户数据的搜查令,谷歌创建了一个进入Gmail账户的后门系统,”Schneier说。“中国黑客就是利用这个功能来获取访问权限的。”
有趣的是,后门的不安全并不是网络安全世界独有的问题。
2014年,《华盛顿邮报》(The Washington Post)发表了一篇关于美国旅行者的行李出去一旦被检查到机场。超过10年的时间,蒸发安全管理局已经让行李制造商置信,以安装一种可以通过物理后门解锁的消费品袋装的新型锁,通过使用七个主键之一,只有TSA代理商应该访问拥有。然而,华盛顿邮政故事揭示了所有七个钥匙的特写镜头。
在一年之内,按键的那张照片了被分析并转换成3D是迅速的在线共享文件打印。这些键已经泄露,并且几乎每一个美国箱包的安全性已被破坏。的第一项缺陷,才需要人为错误。
值得冒这个风险吗?
Attorney General Barr’s comments last month are part of a long-standing tradition in America, in which a representative of the Department of Justice (last year it was then-Deputy Attorney General Rod Rosenstein) makes a public appeal to technology companies, asking them to install backdoors as a means to preventing potential crime.
关于这个问题的争论已经持续了几十年,援引了第一修正案、国家安全和隐私权等问题。这种争论将继续下去,就像今天一样,但加密可能会在这个过程中得到一些令人惊讶的捍卫者。
7月23日,在推特上,一家名为SonicWall的公司的首席营销官发布了一个TechCrunch文章的链接关于司法部长最近的评论。CMO评论了这件作品:
“美国总检察长# WilliamBarr说美国人应该接受安全风险#encryption#backdoors“
迈克尔·海登(Michael Hayden)是美国国家安全局(National Security agency)前局长,该机构负责全球大规模监控回答说:
“不是真的。而且我是国家安全机构的董事。“
在努力安装后门的斗争是一场猫和鼠标的游戏:政府将在大多数情况下,想要在调查犯罪时向数据解密数据,而技术人员将推回这个想法,称之为危险和风险。但随着众多主要公司与Apple设计和建立无法检索用户的数据 - 公众可能会慢慢热身,以真正安全加密的想法和价值慢慢热化。
评论