برچسب: خاطر

VPN ها بخشی ضروری از زندگی آنلاین هستند و از جنبه های بسیاری از حریم خصوصی محافظت می کنند. اما یک طبقه از تهدیدات وجود دارد که VPN ها نمیتوانند از آن دفاع کنند: backdoors رمزنگاری، که حتی قویترین رمزگذاری را که بایستی دور زده شود، فراهم می کند. به همین دلیل برای هر کسی که در مورد حفظ حریم خصوصی و امنیت آنها اهمیت دارد، از هر گونه تلاش برای معرفی درب عقب، مهم است. چیزی که Privacy News Online در مورد چندین بار نوشته است. متاسفانه، این ایده هنوز بسیار زنده است و برای مقامات به نفع آن است، به عنوان دو خبرنامه اخیر نشان می دهد. [1965،9002] اولین مورد حماسی طولانی مدت در سازمان بین المللی استاندارد سازی (ISO) است. آژانس امنیت ملی آمریکا (NSA) تلاش کرده است تا دو تکنیک رمزگذاری، که به نام "سیمون" و "Speck" شناخته شده است، به عنوان استانداردهای ایزو برای استفاده با اینترنت اشیا (IoT) به تصویب برسد. از آنجا که تعداد دستگاه های IoT انتظار می رود که به بسیاری از میلیاردها دلار برسد، انتخاب روش رمزنگاری یک مسئله حیاتی است که عواقب وسیعی را در پی دارد. تکنیک های تایید شده در طیف گسترده ای از محصولات جدید مانند سیستم های کنترل گرما، یخچال و فریزر، روشنایی، بلندگو های هوشمند و دستگاه های پوشیدنی استفاده می شود. اینها عمدتا به اینترنت متصل می شوند، بنابراین عقب در پروتکل های رمزگذاری اجازه می دهد تا هر یک از این دستگاه ها تحت نظارت و احتمالا توسط آژانس های خارجی نظیر NSA کنترل شود.

اهمیت انتخاب برای رمزنگاری IoT باعث شده است رمزنگاری بین المللی کارشناسان بررسی پیشنهاد NSA محتاطانه. آنها از این واقعیت استنباط می کنند که NSA سابقه ای طولانی در تلاش دارد تا پروتکل های رمزنگاری را به جای عقب قرار دهد. این عمل تایید شده توسط فایل های ارائه شده توسط ادوارد اسنودن در سال 2013 است. یکی از آنها جزئیات برنامه 300 میلیون دلاری را با هدف اعلام شده " وارد کردن آسیب پذیری ها به سیستم های رمزگذاری تجاری ". براساس یک گزارش سال گذشته از رویترز در مورد بحث های ایزو، "مخالفان به عدم انتشار انتشار نظرسنجی توسط سازندگان اشاره کردند، عدم پذیرش صنعت و یا نیازی واضح برای سایبر های جدید و موفقیت نسبی دانشگاهیان در نشان دادن آنها نقاط ضعف. "NSA تلاش کرد تا این نگرانی ها را از بین برده و تنها دو قدرتمند ترین نسخه از استانداردها را حذف کند؛ زیرا این ها سخت ترین کار برای شکستن بود.

اما یک پست در سایت WikiTribune نشان می دهد که حتی این نسخه های قوی تر هم اکنون توسط گروه کارشناسان ایزو در یک دیدار در ووهان چین رد شد. مشکل این است که ناتوانی NSA در ارائه اطلاعات فنی کافی در مورد تکنیک های رمزنگاری آن باقی مانده است:

براساس گزارش WikiTribune، متخصصان هیئت های نمایندگی در هفته های اخیر با یکدیگر روبرو شده اند و NSA جزئیات فنی در مورد الگوریتم های معمولی را ارائه نکرده است. فرآیندهای منبع گفت: امتناع از امضای هیئت آمریکایی برای ارائه یک "منطق طراحی قانع کننده، نگرانی اصلی بسیاری از کشورها است."

یکی دیگر از مقاله های WikiTribune به یکی از مخالفان پیشرو پیشنهادات NSA اشاره دارد. دکتر تامر اشور از دانشگاه کوه لوان بلژیک:

"عاشور" گفت: "بسیاری از متخصصان رمزنگاری در داخل و خارج از ایزو نگرانی در مورد امنیت الگوریتم ها داشتند. "NSA تلاش کرد تا در مورد تصمیمات طراحی خاص و گزینه های انتخابی که آنها ساخته اند، همچنان مبهم باقی بماند. همانطور که این امر با آنچه که به عنوان بهترین شیوه طراحی طراحی شده است، بی نظیر است، اما برخی از نمایندگان، از جمله خودم، نگرانند. »

نمایندگان احتمالا هشدار داده بودند، زیرا ناامیدی دقیقا همان چیزی است که NSA برای مخفی کردن حضور یک الگوریتم در پشت درهای بسته. علاوه بر این، در یک پیام کوتاه در توییتر ، عاشور گفت که سازمان امنیت ملی آمریکا تلاش کرده است تا "راه خود را به استانداردهای" تحمیل کند، و رفتار "NSA را" به طرز غم انگیزی خصمانه "نامید و ادعا کرد که شخصا به برخی از کارشناسان حمله کرده است "بی عیب و نقص". اگر تأیید شود، این اقدامات به نظر می رسد که تأیید کند که NSA واقعا مایل است پیشنهادات خود را تأیید کند، اما نمی تواند این را با پیروی از قوانین معمول برای تعریف استانداردهای رمزنگاری انجام دهد.

برنامه نویس و کارآفرین Ray Ozzie، که برای شناختن یادداشت های لوتوس شناخته شده است، در مورد پشتی نیز فکر کرده است. وی ادعا می کند که راهی برای هماهنگی آرزوی آژانس های اجرای قانون برای دسترسی به سیستم های رمز شده مانند تلفن های همراه با نیاز به حفظ حریم خصوصی و امنیت مردم است.

برخی از جزئیات را می توان در یک مقاله در Wired ، اما ایده اصلی این است که یک کد پین قادر به باز کردن یک تلفن محافظت شده با استفاده از کلید عمومی سازنده رمزگذاری شده است. اگر مقامات مایل به باز کردن قفل گوشی هستند که آنها در حال بررسی هستند، آنها یک حکم به دست می آورند، تلفن را روشن می کنند و یک عکس از کد QR نشان داده شده با پین رمز شده را به سازنده ارسال می کنند. دومی از کلید رمزگذاری خصوصی خود برای باز کردن اطلاعات در کد QR استفاده می کند و سپس پین را به مقامات ارسال می کند تا کنترل کامل گوشی را به آنها بدهد. برای جلوگیری از خطر احتمالی که ممکن است پلیس پس از محو کردن گوشی، با یک تراشه خاص در داخل گوشی نفوذ کند، وضعیت فعلی دستگاه را خنثی می کند.

با این وجود ممنون Ozzie's "safe" کارشناسان امنیتی دیگر به زودی در مورد کمبودهای آن اهمیت می دهند. گرچه کمی پیچیده تر است، این روش شبیه به ایده های قبلی "کلیدی سپرده" است: یک نوع "کلید طلایی" وجود دارد، جداگانه ذخیره می شود، که می تواند دستگاه های رمزگذاری شده را باز کند. مشکل این است که کل کلید طلایی را ایمن نگه دارید در حالی که هنوز قادر به استفاده از آن همیشه هستید. به عنوان مثال، همانطور که رابرت گراهام در یک پست وبلاگ طولانی به بررسی نقص در ایده اوزکی می نویسد:

او تنها بخشی را که قبلا می دانیم چگونه حل می کند، حل می کند. او عمدا چیزهایی را که نمیدانیم چگونه حل می شود نادیده بگیریم. ما می دانیم که چگونه به عقب، ما نمی دانیم که چگونه آنها را امن می کنیم.

بله، اپل طاقت فرسایی دارد که با موفقیت کلاه های مهم را محافظت کرد. نه، به این معنی نیست که این مقیاس طاق. مردم بیشتر و بیشتر شما باید طاق را لمس کنید، کمتر امن می شود. ما در حال صحبت کردن با هزاران درخواست در روز از 100000 سازمان مجری قانون در سراسر جهان هستیم. ما بعید به نظر می رسد که این را در برابر بی کفایتی و اشتباه محافظت کنیم. ما قطعا قادر به محافظت از این در برابر حمله عمدی نیستیم.

همان متخصص امنیت دیگر، متیو گرین، که مسئله دیگری را مطرح می کند، مطرح شده است. این تراشه خاص خود تخریب کننده، که عنصر مهمی مهمی از "راه حل" Ozzie را تشکیل می دهد، وجود ندارد:

ثروتمندترین و پیچیده ترین تولید کننده تلفن در سراسر جهان [Apple] تلاش کرد تا یک پردازنده را بسازد که به اهداف مشابه برسد به کسانی که Ozzie نیاز دارد. و از آوریل 2018، پس از پنج سال تلاش، آنها نتوانسته اند به این هدف دست یابند – هدفی که برای امنیت پیشنهاد اوزی که من آن را درک می کنم، حیاتی است.

این واقعیت که پیشنهاد Ozzie حل نخواهد شد تنش میان تمایل به ارائه دسترسی قانونی به تلفن های رمزگذاری شده توسط دولت و نیاز به حفظ حریم خصوصی و امنیت همه، به سختی می تواند به عنوان یک شگفتی تبدیل شود. اگر یک راه حل برای این مشکل پیچیده وجود داشته باشد، احتمالا با توجه به دهه های کاری که به دنبال یکی از آنها بوده است و همچنین میزان بالایی که در آن حضور داشتند، احتمالا پیدا شده است.

اما مشکل اینجاست که شهرت اوزی به عنوان یکی از مهندسان پیشین سالهای اخیر به بعضی ها اجازه می دهند ادعا کنند که پازل درپشتی اکنون "حل شده" بوده است؛ چرا که ری اوزی می گوید که آن را دارد. این قطعا این مورد نیست، زیرا دو منتقد ذکر شده در بالا و سایر نقاط دیگر، ساده است. اما سیاستمداران در مورد چنین زیبایی های فنی نگران نباشند، در صورتی که خواستار قوانینی باشند که این "امن" ها را در دستگاه های اجباری قرار دهند. به همین دلیل مهم است که هر کس که در مورد حفظ حریم خصوصی و امنیت خود مراقبت کند باید آماده باشد تا از تلاش برای تبدیل ایده ناقص به یک واقعیت ناقص جلوگیری کند.

تصویر برجسته توسط Alexas_Fotos