보안 암호화 신뢰가 훨씬 어려워졌습니다.

암호화 신뢰가 훨씬 어려워졌습니다.

차례:

Anonim

2013 년 5 월 Edward Snowden은 암호화 된 디지털 통신에 대한 인식을 떨칠 수있는 유역 문서 릴리스를 시작했습니다. 보안 전문가, 암호화에 의존하는 사람, 암호화 응용 프로그램 제작자조차도 이제는 다시는 암호화를 신뢰하지 못할 수 있습니다.

무엇을 믿지 말아야합니까?

암호화에 대한 수학은 여전히 ​​견고하기 때문에 복잡한 문제입니다. 지난 한 해 동안 문제가되었던 것은 암호화가 어떻게 구현되었는지입니다. NIST (National Institute of Standards and Testing) 및 Microsoft와 같은 조직은 암호화 표준을 손상시키고 정부 기관과 충돌하는 것으로 알려져 있습니다.


2013 년 11 월, Snowden은 NIST가 암호화 알고리즘을 약화 시켰다고 비난 한 문서를 발표하여 다른 정부 기관이 감시를 수행 할 수있게했습니다. 기소 된 NIST는이를 입증하기위한 조치를 취했습니다. 이 블로그의 NIST 사이버 보안 고문 인 도나 도슨 (Donna Dodson)에 따르면 "누설 된 기밀 문서에 대한 뉴스 보도로 인해 암호화 커뮤니티에서 NIST 암호화 표준 및 지침의 보안에 대해 우려하고 있습니다. "NIST 표준 개발 프로세스의 무결성에 의문을 제기했습니다."


NIST는 당연히 우려하고 있습니다. 전 세계 암호화 전문가의 신뢰를 얻지 못하면 인터넷의 기초가 흔들릴 것입니다. NIST는 2014 년 4 월 22 일에 블로그를 업데이트하여 NISTIR 7977 : NIST 암호화 표준 및 지침 개발 프로세스에 대한 공개 의견을 추가했습니다. 표준을 연구 한 전문가의 의견입니다. 바라건대 NIST와 암호화 커뮤니티가 훌륭한 솔루션을 제공 할 수 있기를 바랍니다.


거대 소프트웨어 제공 업체 인 Microsoft와 함께 일어났던 일은 좀 더 성가신 일이었습니다. Redmond Magazine에 따르면 FBI와 NSA는 Microsoft의 드라이브 암호화 프로그램 인 BitLocker에 대한 백도어를 구축하도록 Microsoft에 요청했습니다. 이 기사의 저자 인 Chris Paoli는 BitLocker 팀의 책임자 인 Peter Biddle을 인터뷰했습니다. 그러나 그들은 해결책을 찾았습니다.


Paoli는“Biddle은 백도어에서의 구축을 거부하지만 FBI와 협력하여 사용자의 백업 암호화 키를 대상으로하는 등 데이터를 검색하는 방법을 가르쳐주었습니다.

TrueCrypt는 어떻습니까?

먼지는 거의 Microsoft의 BitLocker 주위에 정착했습니다. 그런 다음 2014 년 5 월, 비밀 TrueCrypt 개발 팀은 암호화 세계에 충격을 가하여 최고의 오픈 소스 암호화 소프트웨어 인 TrueCrypt를 더 이상 사용할 수 없다고 발표했습니다. TrueCrypt 웹 사이트에 대한 모든 시도는 다음 경고를 표시하는이 SourceForge.net 웹 페이지로 리디렉션되었습니다.



Snowden 문서 릴리스 이전에도 이러한 유형의 발표는 데이터를 보호하기 위해 TrueCrypt에 의존하는 사람들에게 충격을 주었을 것입니다. 의심스러운 암호화 관행을 추가하면 충격이 심각해집니다. 또한 TrueCrypt를 지원하는 오픈 소스 옹호자들은 이제 TrueCrypt 개발자가 모든 사람이 Microsoft의 독점 BitLocker를 사용하도록 권장한다는 사실에 직면하고 있습니다.


말할 것도없이, 음모 이론가들은 이것으로 현장의 날을 보냈습니다. 결정의 이유에 대해서는 여러 가지 의견이 있습니다. 처음에 Dan Goodin 및 Brian Krebs와 같은 전문가들은 웹 사이트가 해킹 당했다고 생각했지만 일부 확인 후 두 가지 개념을 모두 무시했습니다.


이 토론에 부합하는 두 가지 인기 이론 :

  • Microsoft는 경쟁을 제거하기 위해 TrueCrypt를 구입했습니다 (BitLocker 마이그레이션 방향이이 이론을 뒷받침했습니다).
  • 정부의 압력으로 인해 TrueCrypt의 개발자는 웹 사이트를 닫을 수 없었습니다 (Lavabit과 유사).
정부 기관이 암호화 개발자와 얼마나 관련되어 있는지 아무도 모르기 때문에 모든 형태의 암호화에 대한 의혹이 제기되었습니다. 세계적으로 유명한 보안 전문가 인 브루스 슈나이어 (Bruce Schneier)는 2013 년 9 월 블로그 게시물에서 "새로운 Snowden 계시는 폭발적입니다. 기본적으로 NSA는 대부분의 인터넷을 해독 할 수 있습니다. 수학 : 이것을 기억하십시오 : 수학은 좋지만 수학에는 선택 의지가 없습니다. 코드에는 선택 의지가 있으며 코드는 전복되었습니다. "


그 규율에 대한 믿음의 부족은 오늘날에도 계속되고 있습니다. 암호 전문가가 TrueCrypt (IsTrueCryptAuditedYet)에 대한 강렬한 검토를 수행하고 있다는 사실은 계속 존재하는 불확실성의 주요 예입니다.

우리는 무엇을 믿을 수 있습니까?

Edward Snowden과 Bruce Schneier는 암호화가 여전히 민감한 개인 정보와 회사 정보에서 멀어 지도록하는 최선의 솔루션이라고 말했다.


ACLU의 ACLU 수석 기술자 인 Christopher Soghoian 및 Ben Wizner와의 SXSW 인터뷰에서 Snowden은 "결론은 암호화가 작동한다는 것입니다. 암호화는 비전적이고 어두운 예술이라고 생각할 필요는 없지만 기본적인 보호 수단으로 생각할 필요가 있습니다. "디지털 세상을 위해."


그런 다음 Snowden은 개인적인 예를 제시했습니다. NSA는 자신이 유출 한 문서를 파악하기 위해 열심히 노력했지만 파일을 해독 할 수 없기 때문에 전혀 모릅니다. Bruce Schneier는 또한 암호화와 관련하여 모든 분야에 종사하고 있습니다. 그래도 Schneier는 경고로 그의 지원을 강화했습니다.


"폐쇄 된 소스 소프트웨어는 오픈 소스 소프트웨어보다 NSA가 백도어를 사용하는 것이 더 쉽다. 마스터 비밀에 의존하는 시스템은 합법적이거나보다 비밀스러운 수단을 통해 NSA에 취약하다"고 말했다.


Schneier의 의견은 TrueCrypt가 폐쇄되기 전과 TrueCrypt 개발자들이 사람들에게 BitLocker를 사용하도록 제안하기 전에는 역설적이었습니다. 아이러니 : TrueCrypt는 오픈 소스 인 반면 BitLocker는 닫힌 소스입니다.

암호화 신뢰가 훨씬 어려워졌습니다.