Криптографічні війни

Крипто-війни — це неофіційна назва спроб уряду США обмежити громадськості й зарубіжним державам доступ до криптографічних методів із сильним захистом від дешифрування національними розвідувальними управліннями, особливо американським АНБ.[1]

Приблизно в 2005 році громадськість оголосила, що відстояла доступ до шифрування у криптографічній війні.[2] Згодом, витік даних 2013 року показав, що АНБ таємно послабило алгоритми шифрування і стандарти безпеки, що породило нові дискусії про необхідність шифрування даних для населення.[3] Цей, здавалося б, поштовх до появи сильного шифрування (наприклад, для продуктів Apple) після викриття АНБ змусив уряд США відновити свої вимоги закрити доступ громадськості до non-backdoored шифруванню, на подив багатьох юристів, які вважали цю «крипто-війну» виграної.

Експорт криптографії з США

Час холодної війни

У перші дні холодної війни США і їх союзники розробили звід правил контролю експорту, які призначалися для запобігання попадання західних технологій в чужі руки, особливо в країни Східного блоку. Експорт деяких товарів вимагав особливої ліцензії. Був також створений координаційний комітет з експортного контролю (КоКом).

Під захист потрапили два типи технологій: пов'язані з зброєю, боєприпасами, а також подвійного призначення: військового і торгового. У США перші контролювалися Державним департаментом, другі — Міністерством торгівлі. Оскільки в перший час після Другої світової війни криптографія використовувалася переважно у військових цілях, технології шифрування, такі як способи шифрування, необхідне обладнання і, з поширенням комп'ютерів, програмне забезпечення, були включені до 13 категорії Списку Озброєнь Сполучених Штатів, експорт яких з країн Західного блоку контролювався структурами КоКом.

Однак до 60-х років фінансові організації почали вимагати від влади дозвіл на сильне шифрування з причини швидкого розвитку сфери дротових грошових переказів. У 1975 уряд США представило стандарт DES (Data Encryption Standard), який був нав'язаний для використання всіма комерційними структурами. Виникла проблема експортного контролю використовуваних криптографічних систем. Як правило, контроль передбачався через розгляд експортної ліцензії в кожному конкретному випадку, зокрема, у разі експорту інформаційних систем, розроблених компанією IBM та іншими великими компаніями.

Ера персональних комп'ютерів

Поява персональних комп'ютерів стала новим приводом для занепокоєння, ситуація з експортним контролем технологій шифрування ускладнилася. Розробка криптосистеми PGP Філіпом Циммерманом у 1991 році та її зростаюча популярність виявилися першим великим особистим викликом існуючому експортному контролю криптографії. Зростання електронної торгівлі в 90-х роках зробила додатковий тиск і посприяла зниженню обмежень. Незабаром після цього технологія SSL компанії Netscape була прийнята багатьма як метод захисту операцій з кредитними картами з допомогою криптосистем з відкритим ключем.

Протокол SSL використовував шифр RC4 і 128-бітові ключі. Закони США не дозволяють експортувати криптосистеми, які використовують 128-бітові ключі.[4] Взагалі західні влади вели політику подвійних стандартів по відношенню до шифрування, розробленого військовими криптоаналітиками. Останні були стурбовані виключно тим, щоб «вороги» не оволоділи державною таємницею. Але потім чиновники розширили дію цієї політики й на сферу торгівлі, так як розвиток промисловості входив в їхні цілі.

Довжина самого великого ключа, дозволеного для використання в експортних версіях, становила 40 біт. Виходячи з цього, компанія Netscape розробила дві версії свого браузера. Версія для споживачів всередині США передбачала використання ключа розміром в 128 біт. Міжнародна версія використовувала ключ розміром 40 біт. Дане скорочення досягалося відкиданням 88 біт ключа протоколу SSL. В результаті такого поділу користувачі всередині США прийшли до використання міжнародної версії браузера, так як використання ключа 40 біт було набагато продуктивніше, ніж використання ключа 128 біт.

У 1996 році президент Білл Клінтон підписав розпорядження про перенесення комерційного шифрування зі Списку озброєнь в Список торгового контролю, що означало серйозні пом'якшення експортного контролю. До цього призвели судові розгляди Пітера Юнгера та інших лібертаріанців та захисників конфіденційності, широке поширення шифрувального програмного забезпечення, а також чимала кількість компаній, які вважали, що слабке шифрування істотно обмежує продажу і уповільнює зростання електронної комерції. Крім того, в наказі зазначено, що «програмне забезпечення не повинне розглядатися або трактуватися як 'технологія'» в сенсі правил експортного контролю. Цей закон дозволяв Міністерству торгівлі США самому корегувати правила контролю, що значно спрощувало експорт комерційного програмного забезпечення із відкритим вихідним кодом, що використовує методи криптографії.[5]

На поточний момент

Станом на 2009 рік, експорт невійськової криптографії з США контролюється Бюро промисловості та безпеки США — структурним підрозділом Міністерства торгівлі.[6] Деякі обмеження досі діють, у тому числі для масового виробництва, особливо щодо експорту в так звані «країни-ізгої» або терористичні організації. Для експорту військового криптообладнання, електроніки стандарту TEMPEST, користувальницького криптографічного ПЗ, в свою чергу, потрібна ліцензія. Крім того, для експорту ПЗ і  компонентів з шифруванням, що перевищує довжину 64 біта, потрібна постановка на облік у БПС. Наприклад, для деяких товарів передбачено обов'язкове повідомлення БПС про відправку в більшість країн до її здійснення.[7] загалом кажучи, в порівнянні з попередніми стандартами 1996 року, правила експорту були в якійсь мірі пом'якшені, але досі є  складними. Інші держави, зокрема, країни Вассенаарської угоди[8], мають схожі з американськими обмеження.[9]

Шифрування мобільних мереж

Мікросхема Clipper

Мікросхема Clipper — чипсет для мобільних телефонів, розроблений у 90-х роках Агентством національної безпеки, в якому реалізується шифрування з бекдорів. Уряд США робило спроби змусити виробників телефонів впровадити ці чипсети у виробництво, але ця програма не мала успіху і в 1996 році була згорнута.

A5/1 (алгоритм шифрування для GSM)

А5/1 — це потоковий алгоритм шифрування, використовуваний для забезпечення конфіденційності переданих даних між телефоном і базовою станцією в європейській системі мобільного цифрового зв'язку GSM.

Росс Андерсон, дослідник безпеки, в 1994 році повідомив, що організації радіоелектронної розвідки країн НАТО в середині 80-х років мали серйозні розбіжності у поглядах на те, чи повинно бути шифрування для GSM сильним чи ні. У Німеччині вважали, що повинно, що було обгрунтовано великою довжиною кордонів із країнами Варшавського договору. Але в інших країнах такої проблеми не існувало, і алгоритм шифрування був розроблений у Франції.[10]

За словами професора Яна Арельда Аудестада, у процесі стандартизації, який розпочався в 1982 році, спочатку передбачалося, що довжина ключа A5/1 буде дорівнює 128 бітам. У той час надійність 128-бітового ключа гарантувалася, принаймні, на 15 років (згодом з'ясовувалося, що до 2014 року він також збереже надійність). Аудестад, Петер ван дер Оренд і Томас Хауг повідомляють, що у Великій Британії наполягали на більш слабкому шифруванні — там мали на меті спростити британським спецслужбам процес прослуховування. Англійці запропонували 48-бітову довжину ключа, в той час, як у ФРН вимагали більш сильне шифрування, щоб забезпечити захист від східнонімецької розвідки; у результаті країни зійшлися на 56-бітовому ключі.[11]

Спроби злому DES

Широко вживаний алгоритм шифрування DES, як спочатку планувала компанія IBM, повинен був мати 64-бітний розмір ключа, але АНБ лобіювало 48-бітний ключ. Сторони прийшли до компромісу у вигляді 56-бітної довжини.[12] Близько 1997 року DES багатьма вважався ненадійним, а оприлюднені в ході Сноуденівському  витоку даних в 2013 році документи показали, що насправді DES легко зламував АНБ, але досі був рекомендований Національним інститутом стандартів і технологій. Для того щоб підкреслити відсутність надійності DES, RSA Security організувала конкурс на його злом, і в кінцевому підсумку шифр був зламаний методом «грубої сили». Спеціально для цього компанія EEF сконструювала комп'ютер.

Успішний злом DES, по всій видимості, допоміг зібрати як політичну, так і технічну підтримку для отримання доступу простими громадянами до більш просунутого шифрування.[13]

Програма Billrun

Побоюючись повсюдного впровадження шифрування, АНБ намірився таємно послабити стандарти і отримувати майстер-ключі або за угодою, за допомогою закону, або втручанням в комп'ютерні мережі, тобто зломом.[14]

У газеті New York Times говорилося, що до 2006 року АНБ відзначилося зломом приватних мереж трьох іноземних авіакомпаній, бази туристичної компанії, закордонного ядерного центру та інтернет-сервісів. До 2010 року Edgehill, британська дешифрувальна програма, встигла відстежити трафік в 30 VPN мережах і поставила аналогічні цілі ще на 300 мереж.[15]

В рамках програми Billrun — американського аналога Edgehill — АНБ також активно працювала над впровадженням вразливостей в комерційні системі шифрування, інформаційні системи, мережі і користувальницькі пристрої.[16] The New York Times повідомила, що генератор випадкових чисел Dual_EC_DRBG містить бекдор від АНБ, який дозволяв агентству ламати ключі, які генеруються ГВЧ.[17] І хоча Dual_EC_DRBG вважався повільним і небезпечним, і в 2007 році був знайдений потенційний бекдор від АНБ, а інші генератори випадкових чисел без цих недоліків були сертифіковані і широко доступні, цей ГВЧ продовжував використовуватися, в тому числі компанією RSA Security, яка покладалася на Dual_EC_DRBG до вересня 2013 року. Після відмови від Dual_EC_DRBG через бекдор виникло питання, а чому він взагалі використовувався в період з 2007 року, коли не залишилося сумнівів, що даний ГВЧ містить такий недолік, 2013 рік,[18] однак 20 грудня 2013 року з'явилася інформація, що RSA Security отримала від АНБ 10 мільйонів доларів за те, щоб вона використовувала Dual_EC_DRBG.[19][20] В оприлюднених документах АНБ говорилося, що, зрештою, воно стало одноосібним редактором стандартів.

У 2010 АНБ розробило «революційні можливості» для злому Інтернет трафіку. Однак документ Центру урядового зв'язку попередив, що «ці можливості пов'язані з уразливостями у сфері радіоелектронної розвідки. Інший інсайдерський документ попереджав про те, що інформація про існуючі можливості не повинна бути розкрита. Деякі експерти, в тому числі Брюс Шнайєр і Кристофер Согоян, вважають, що успішна атака на RC4 алгоритм, розроблена в 1987 році, до цих пір використовується щонайменше у 50 відсотках усіх атак на SSL / TLS трафік. Інші експерти припустили, що NSA має можливість зламати публічні ключі розміром в 1024 біта протоколів Діффі-Хеллмана і RSA.[21]

Здійснення програми Bullrun було спірним у тому сенсі, що АНБ навмисно вводив приховані уразливості, які впливали на захищеність систем як звичайних громадян США, так і передбачуваних цілей аналізу АНБ. У той час АНБ ставило перед собою два завдання: запобігання вразливостей, які могли шкодити США, і знаходити уразливості, які можна було б використовувати для розкриття інформації передбачуваних цілей аналізу АНБ. Однак, за словами Брюса Шнайєра, АНБ ставило в пріоритет прихований пошук вразливостей або навіть їх створення.

Див. також

Примітки

  1. The Crypto Wars: Governments Working to Undermine Encryption. Electronic Frontier Foundation. Архів оригіналу за 18 листопада 2019. Процитовано 20 квітня 2018. 
  2. The Crypto Wars are Over!. fipr.org. Архів оригіналу за 6 червня 2018. Процитовано 20 квітня 2018. 
  3. Has the NSA Won the Crypto Wars?. itif.org. Архів оригіналу за 27 січня 2015. Процитовано 20 квітня 2018. 
  4. SSL by Symantec - Learn How SSL Works - Symantec. verisign.com. Архів оригіналу за 9 травня 2012. Процитовано 20 квітня 2018. 
  5. EPIC copy of document from US Department of Commerce. January 2000. Архів оригіналу за 23 серпня 2013. Процитовано 6 січня 2014. 
  6. Robin Gross. Regulations (PDF). gpo.gov. Архів оригіналу (PDF) за 3 грудня 2010. Процитовано 20 квітня 2018. 
  7. U. S. Bureau of Industry and Security - Notification Requirements for "Publicly Available" Encryption Source Code. Bis.doc.gov. 9 грудня 2004. Архів оригіналу за 21 вересня 2002. Процитовано 8 листопада 2009. 
  8. Participating States [Архівовано 2012-05-27 у Archive.is] The Wassenaar Arrangement
  9. Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies: Guidelines & Procedures, including the Initial Elements [Архівовано 14 травня 2011 у Wayback Machine.] The Wassenaar Arrangement, December 2009
  10. Ross Anderson (17 червня 1994). A5 (Was: HACKING DIGITAL PHONES). Група новинuk.telecom. Usenet: [email protected]. 
  11. Sources: We were pressured to weaken the mobile security in the 80's. Aftenposten. Архів оригіналу за 25 квітня 2016. Процитовано 20 квітня 2018. 
  12. Stanford Magazine. Keeping Secrets. Medium. Архів оригіналу за 22 травня 2016. Процитовано 20 квітня 2018. 
  13. Brute Force. google.com. 
  14. N.S.A. Able to Foil Basic Safeguards of Privacy on Web — The New York Times. Архів оригіналу за 15 березня 2018. Процитовано 20 квітня 2018. 
  15. N.S.A. Able to Foil Basic Safeguards of Privacy on Web — The New York Times. Архів оригіналу за 16 березня 2018. Процитовано 20 квітня 2018. 
  16. Secret Documents Reveal N.S.A. Campaign Against Encryption. New York Times. Архів оригіналу за 11 лютого 2018. Процитовано 20 квітня 2018. 
  17. New York Times provides new details about NSA backdoor in crypto spec. Ars Technica. Архів оригіналу за 25 грудня 2016. Процитовано 20 квітня 2018. 
  18. Matthew Green. RSA warns developers not to use RSA products. Архів оригіналу за 10 жовтня 2013. Процитовано 20 квітня 2018. 
  19. Menn, Joseph (20 грудня 2013). Exclusive: Secret contract tied NSA and security industry pioneer. San Francisco: Reuters. Архів оригіналу за 24 вересня 2015. Процитовано 20 грудня 2013. 
  20. Reuters in San Francisco (20 грудня 2013). $10m NSA contract with security firm RSA led to encryption 'back door' | World news. theguardian.com. Архів оригіналу за 25 січня 2014. Процитовано 23 січня 2014. 
  21. Lucian Constantin (19 листопада 2013). Google strengthens its SSL configuration against possible attacks. PCWorld. Архів оригіналу за 21 вересня 2019. Процитовано 20 квітня 2018. 

Посилання