säkerhet

FBI Backdoors hjälper inte någon - inte ens FBI

FBI har nyligen varit i nyheterna med sin kampanj för att tvinga teknikföretag att ändra sina krypteringsmetoder. Hur fungerar kryptering och är det verkligen säkert? Hur fungerar kryptering och är det verkligen säkert? Läs mer för att underlätta snabba användarnas meddelanden. Enligt FBI är detta en commonsense-förändring: trots allt använder sig brottslingar av dessa krypterade tjänster för att kommunicera i hemlighet, och konstitutionen ger dem rätt att fånga information (som bokstäver och dokument) när en laglig åtal presenteras.

Så varför inte ge FBI möjligheten att läsa krypterade dokument?

Om vi misslyckas med att vidta dessa steg varnar FBI, brottslingar och terrorister fortsätter att bli "mörka" - för att flytta sin trafik till anonyma meddelandeplattformar som inte kan övervakas noggrant. Detta säger de, lämnar maktbalansen i händerna på dåliga människor. Förenade kungarikets regering har gjort liknande varningar Varför Snapchat & iMessage kunde verkligen vara förbjudet i Storbritannien Varför Snapchat & iMessage verkligen kunde vara förbjudet i Storbritannien Talade till ett rum fullt av partiaktivister i Nottingham, premiärminister David Cameron förklarade att kryptering för meddelandet skulle vara förbjudet om hans parti skulle få majoritet vid nästa allmänna val. Läs mer .

Enligt FBI-direktören James Comey:

“ISILs M.O. är att sända på Twitter, få folk att följa dem och sedan flytta dem till Twitter Direktmeddelanden” att utvärdera om de är en legitim rekrytering, sa han. “Sedan flyttar de dem till en krypterad mobilmeddelandeapp så att de blir mörka för oss.”

FBI gör inte heller inaktiv chatter. Nästa kamp i privatlivskriget händer, till stor del i hemlighet, hos Apple, Inc. VD, Tim Cook, har gjort alltmer arga uttalanden om användarskydd, inklusive följande:

“[T] här var rykten och saker som skrivits i pressen att folk hade bakdörrar till våra servrar. Inget av det är sant. Noll. Vi skulle aldrig tillåta det att hända. De skulle behöva vagnar oss i en låda innan vi skulle göra det.”

Rykten har cirkulerat ett tag som FBI försöker pressa företaget att lägga till “back-dörrar” till krypteringen i sina produkter och tjänster (som iPhone och iMessaging). Nu finns det några offentliga bevis för att detta inträffar. Justitiedepartementet har utfärdat en domstolsordning till Apple och krävde att de vänder sig över realtidsmeddelanden av logg mellan två misstänkta i ett fall av vålds- och drogbrott. Apple har vägrade att säga att även de inte kan spricka användarkryptering - trots allt är det meningen.

Svaret från FBI och DoJ har varit att de överväger att ta Apple till domstolen över det - förmodligen att försöka få en domstolsorder för att tvinga företaget att bakdörr deras kryptering. ZDNet varnar för att om detta händer skulle Apple kunna tvingas kapitulera. Det skulle inte vara första gången någonting så här har hänt: I 2014 var Yahoo äntligen i stånd att diskutera sin hemliga FISA-domstolsförhandling med PRISM, det statliga övervakningsprogrammet som avslöjades av Edward Snowden Hero eller Villain? NSA modererar sin ställning på Snowden Hero eller Villain? NSA modererar sin inställning till Snowden Whistleblower Edward Snowden och NSA: s John DeLong kom fram på schemat för ett symposium. Medan det inte fanns någon debatt verkar det som att NSA inte längre målar Snowden som en förrädare. Vad har ändrats? Läs mer, tillbaka i början av 2000-talet. När det vägrade att byta användarinformation var Yahoo inför stora, hemliga böter - 250 000 dollar varje dag, fördubbling varje månad. För sammanhanget skulle det dagliga bötesbeloppet ha överskridit världs BNP på 74 biljoner dollar i drygt två år.

Implementeringsproblem

Även om man ignorerar de olika moraliska och konstitutionella problemen med denna typ av sak finns det också många tekniska problem med förslaget. Sedan FBI började trycka på sina krypterings bakdörrar, har ett antal säkerhetsforskare kommit fram för att påpeka några grundläggande brister i hela konceptet.

Till att börja med kommer en vanlig säkerhetsexpert att berätta att “säkra bakdörrar” att Comey vill inte existera. Chefen för Federal Trade Commission har sagt att förslaget är en dålig idé. Det finns inget sätt att lämna en bakdörr i något starkt krypteringsschema utan att allvarligt skada den övergripande säkerheten. Kryptosystem som har den egenskapen existerar helt enkelt inte. Kryptografi är inte något som kan bli viljat till existens.

TechDirt har en ganska underbar artikel som rippar den här idén. Ett val citat:

“Jag är ganska fantastisk att Comey fortsätter att insistera på att de ljust sinne i Silicon Valley kan spruta lite magi pixie damm och ge honom vad han vill, men samtidigt hävdar att det är för svårt för att FBI faktiskt ska kvantifiera hur stort ett problemkryptering är för dess undersökningar. Dessutom kan han inte ens ge en singel verkligt världsexempel för var kryptering har varit ett verkligt problem.”

Även om ett sådant system skulle kunna skapas finns det en annan allvarlig fel: vi skulle ge den nyckeln till regering. Samma regering som inte ens kan hålla sina egna personliga journaler säkra Vad är OPM Hack och vad betyder det för dig? Vad är OPM Hack, och vad betyder det för dig? Under flera veckor har nyheter som kommer ut ur Byrån för personalhantering (OPM) blivit stadigt värre, efter ett hack av historiska proportioner. Men vad hände verkligen och vad kan du göra åt det? Läs mer och gick månader eller år utan att märka att de hade hackats. Edward Snowden, en entreprenör, gick ut med detaljer om NSA: s mest känsliga förhållanden. Hur många timmar tror du att det skulle ta för den kinesiska regeringen att få en kopia av nyckeln? Hur många dagar tills det visas på det mörka nätet Hur man hittar aktiva lökwebbplatser (och varför du kanske vill) Så här hittar du aktiva lökwebbplatser (och varför du kanske vill) Lökplatser är värd på Tor-nätverket. Men hur hittar du aktiva lökställ? Och vilka är de du ska gå till? Läs mer och någon halvkompetent hacker kan komma åt någons bankkonto? Datasäkerhetsstandarden inom den amerikanska regeringen är inte ens nära tillräckligt bra för att överlåta säkerheten för hela Internet.

Falska syften

Det finns emellertid en större fråga, som går direkt till hjärtat av hela argumentet: nämligen att dessa typer av bakdörrar inte faktiskt löser det problem som FBI förmodligen är oroad över. FBI: s motivering hör till allvarliga hot - inte narkotikahandel och handväskare, men terrorister och människohandel. Tyvärr är det de människor som kommer att drabbas minst av dessa bakdörrar.

Terrorister och brottslingar är inte okunniga om kryptering. De som använder kryptering gör det med syfte, för att undvika övervakning. Det är naivt att tro att de inte kommer märka när FBI lyckas få någon form av bakdörr. Terrorister och vapenhandlare kommer inte bara att fortsätta att använda en backdoored iMessenger - de kommer att byta till krypterade chattprogram. Så här säkrar och krypterar du chattmeddelanden för direktmeddelanden Hur man säkrar och krypterar dina direktmeddelanden Chattar Läs mer utvecklad i andra länder, eller till öppen källkod, vars säkerhet de kan verifiera. De som är sårbara mot bakdörrarna kommer att vara de som inte är informerade om att använda bättre datasäkerhet - aka, småbrottslingar och de flesta lagöverträdande medborgare.

Kryptografiska bakdörrar är mycket mer användbara för snooping på din mormor än de är för snooping på ISIL, och FBI vet det mycket troligt. Så ta deras riktiga varningar om terrorister med saltkorn om Utahs storlek.

FBI kommer naturligtvis att argumentera för att det inte finns några frågor om integritet som uppkommer för lagöverträdande medborgare. När allt kommer omkring skulle de fortfarande behöva en warrant för att få tillgång till den här informationen, precis som de skulle söka i ditt hus eller arkivskåp. Men dessa är inte de oinformerade, oskyldiga dagarna innan Snowden läcker.

Vi vet om förekomsten av hemliga domstolar som utfärdar hemliga teckningsoptioner baserat på hemliga bevis. Dessa domstolar vägrar inte att utfärda teckningsoptioner, för det är inte deras syfte. De är gummistämplar i alla utom namn. Att begära att vi litar på vår integritet till ett sådant system är aktivt förolämpande.

Här är säkerhetsexpert Bruce Schneier säkerhetsexpert Bruce Schneier på lösenord, sekretess- och förtroendesäkerhetsexpert Bruce Schneier om lösenord, sekretess och förtroende Läs mer om säkerhet och integritet i vår intervju med säkerhetsexpert Bruce Schneier. Läs mer som uttrycker en liknande vy på hans blogg, Schneier on Security,

“Föreställ dig att Comey fick vad han ville ha. Föreställ dig att iMessage och Facebook och Skype och allt annat gjort i USA hade sin bakdörr. ISIL-operativet skulle berätta för sin potentiella rekryter att använda något annat, något säkert och icke-USA-gjort. Kanske ett krypteringsprogram från Finland, eller Schweiz eller Brasilien. Kanske Mujahedeen Secrets. Kanske något.”

En historia av övervakning

Det här är inte första gången olika myndigheter har försökt något sådant. På 1990-talet försökte Clinton-administrationen tvinga den tekniska industrin att installera övervakningsutrustning i sina enheter - den så kallade “Clipper chip,” vilket skulle göra det möjligt för myndigheter att kringgå stark kryptering.

I det fallet upptäcktes också sårbarheter i systemet, vilket gör enheterna mindre säkra och tillåter brottslingar att kringgå det under alla omständigheter. Förslaget besegrades. I en analys som heter “Nycklar under dörrmattor: Mandatory insecurity genom att kräva statlig tillgång till all data och kommunikation,” mer än ett dussin säkerhetsforskare uttrycker uppfattningen att det nya förslaget skulle bli ännu värre. Ur abstrakt:

“För tjugo år sedan lobbade de brottsbekämpande organisationerna att kräva datatjänster och kommunikationstjänster för att konstruera sina produkter för att garantera att brottsbekämpning ska få tillgång till all data. Efter långvarig debatt och kraftfulla förutsägelser av tvångsförfaranden fortsätter dessa försök att reglera framväxande Internet övergivna.

Under de närmaste åren blomstrade innovationen på Internet, och brottsbekämpande organ hittade nya och effektivare sätt att få tillgång till betydligt större datamängder. Idag hör vi igen krav på reglering för att bemyndiga tillhandahållandet av exceptionella åtkomstmekanismer.

I den här rapporten har en grupp datavetenskapare och säkerhetsexperter, av vilka många deltog i en 1997-studie av samma ämnen, sammankallats för att undersöka de sannolika effekterna av att införa extraordinära åtkomstmandater. Vi har funnit att skadan som kan orsakas av exklusiva behörighetskrav för brottsbekämpning skulle vara ännu större idag än vad som skulle ha varit 20 år sedan.”

För mycket för för lite

Sammanfattningsvis: kryptering bakdörrar är en dålig idé, tekniskt och praktiskt taget. De löser inte brottsbekämpningens stora problem, men de skapar nya för konsumenter och alla som är beroende av säkerhet. Att tvinga dem på industrin kommer att vara dyrt övertygad, och vi får nästan ingenting i gengäld. De är en dålig idé, föreslagna i ond tro. Och med lycka till kommer den växande klammen av röster mot idén att stoppa dem igen.

Vad tror du? Ska regeringen ha befogenhet att kompromissa med kryptering? Låt oss veta dina tankar i kommentarerna!

Bildkrediter: blockerar dörröppningen av Mopic via Shutterstock

Utforska mer om: Onlinesäkerhet, Online-säkerhet, Övervakning.

« FB Checker A Desktop App för att ta reda på om en Facebook-profil är falsk FBI Ransomware Hits Android Hur man undviker att få det (och ta bort det) »