Rumah Keamanan Mempercayai enkripsi semakin sulit

Mempercayai enkripsi semakin sulit

Daftar Isi:

Anonim

Pada Mei 2013, Edward Snowden memulai rilis dokumen daerah aliran sungai yang akan mengguncang persepsi kita tentang komunikasi digital terenkripsi. Pakar keamanan, orang-orang yang mengandalkan enkripsi, dan bahkan pembuat aplikasi enkripsi sendiri sekarang bermasalah sehingga mustahil untuk mempercayai enkripsi lagi.

Apa yang Tidak Dipercayai?

Ini masalah yang rumit, terutama karena tampaknya matematika di balik enkripsi masih solid. Apa yang telah dipertanyakan selama setahun terakhir adalah bagaimana enkripsi telah diterapkan. Organisasi, seperti Institut Standar dan Pengujian Nasional (NIST) dan Microsoft, berada di kursi panas karena diduga mengkompromikan standar enkripsi dan berkolusi dengan lembaga pemerintah.


Pada November 2013, Snowden merilis dokumen yang menuduh NIST melemahkan algoritme enkripsi-nya, yang memungkinkan lembaga pemerintah lainnya melakukan pengawasan. Setelah dituduh, NIST mengambil langkah untuk membuktikan kebenarannya. Menurut Donna Dodson, kepala penasihat cybersecurity NIST di blog ini, "laporan berita tentang dokumen rahasia yang bocor telah menimbulkan kekhawatiran dari komunitas kriptografi tentang keamanan standar kriptografi dan pedoman NIST. NIST juga sangat prihatin dengan laporan ini, beberapa di antaranya memiliki mempertanyakan integritas proses pengembangan standar NIST. "


NIST sepatutnya prihatin - tidak memiliki kepercayaan dari para ahli kriptografi dunia akan mengguncang fondasi Internet. NIST memperbarui blognya pada 22 April 2014, menambahkan Komentar Publik yang Diterima pada NISTIR 7977: NIST Standar Kriptografi dan Proses Pengembangan Pedoman, komentar dari para ahli yang mempelajari standar. Semoga, NIST dan komunitas kriptografi dapat menemukan solusi yang menyenangkan.


Apa yang terjadi dengan penyedia perangkat lunak raksasa Microsoft sedikit lebih samar. Menurut Redmond Magazine, FBI dan NSA meminta Microsoft untuk membangun pintu belakang ke BitLocker, program enkripsi drive perusahaan. Chris Paoli, penulis artikel, mewawancarai Peter Biddle, kepala tim BitLocker, yang menyebut Microsoft ditempatkan pada posisi yang canggung oleh agensi. Namun, mereka menemukan solusi.


"Sementara Biddle menyangkal membangun di pintu belakang, timnya bekerja dengan FBI untuk mengajari mereka bagaimana mereka bisa mengambil data, termasuk menargetkan kunci enkripsi cadangan pengguna, " Paoli menjelaskan.

Bagaimana dengan TrueCrypt?

Debu hampir mengendap di sekitar BitLocker Microsoft. Kemudian, pada Mei 2014, tim pengembangan TrueCrypt yang rahasia mengejutkan dunia kriptografi, mengumumkan bahwa TrueCrypt, perangkat lunak enkripsi open-source utama, tidak lagi tersedia. Segala upaya untuk sampai ke situs web TrueCrypt dialihkan ke halaman Web SourceForge.net ini yang menampilkan peringatan berikut:



Bahkan sebelum dokumen Snowden dirilis, jenis pengumuman ini akan mengejutkan mereka yang mengandalkan TrueCrypt untuk melindungi data mereka. Tambahkan praktik enkripsi yang dipertanyakan, dan guncangan berubah menjadi kecemasan serius. Plus, advokasi sumber terbuka yang mendukung TrueCrypt sekarang menghadapi kenyataan bahwa pengembang TrueCrypt merekomendasikan agar semua orang menggunakan BitLocker milik Microsoft.


Tak perlu dikatakan, para ahli teori konspirasi telah mengalami hari lapangan dengan ini. Ada banyak pendapat berbeda tentang alasan di balik keputusan tersebut. Pada awalnya, para ahli seperti Dan Goodin dan Brian Krebs mengira situs web tersebut telah diretas, tetapi setelah beberapa pemeriksaan keduanya menolak gagasan itu.


Dua teori populer yang menyelaraskan diri dengan diskusi ini:

  • Microsoft membeli TrueCrypt untuk menghilangkan persaingan (arah migrasi BitLocker memicu teori ini).
  • Tekanan pemerintah memaksa pengembang TrueCrypt untuk menutup situs web (mirip dengan yang terjadi pada Lavabit).
Kecurigaan sekarang dilemparkan pada semua bentuk enkripsi hanya karena tidak ada yang tahu seberapa terlibat lembaga pemerintah dengan pengembang enkripsi. Dalam posting blog September 2013, Bruce Schneier, pakar keamanan terkenal di dunia, mengatakan, "Pengungkapan Snowden baru bersifat eksplosif. Pada dasarnya, NSA dapat mendekripsi sebagian besar Internet. Mereka melakukannya terutama dengan menipu, bukan dengan menipu. matematika. Ingat ini: Matematika itu baik, tetapi matematika tidak memiliki agensi. Kode memiliki agensi, dan kodenya telah ditumbangkan. "


Kurangnya kepercayaan pada kode berlanjut hari ini. Fakta bahwa cryptographers sedang melakukan tinjauan intens terhadap TrueCrypt (IsTrueCryptAuditedYet) adalah contoh utama dari ketidakpastian yang terus ada.

Apa Yang Bisa Kita Percaya?

Baik Edward Snowden dan Bruce Schneier sama-sama mengatakan bahwa enkripsi masih merupakan solusi terbaik untuk menjaga mata dari informasi pribadi dan perusahaan yang sensitif.


Snowden, selama wawancara SXSW dengan teknisi utama ACLU, Christopher Soghoian dan Ben Wizner, juga dari ACLU mengatakan, "Intinya adalah bahwa enkripsi bekerja. Kita tidak perlu menganggap enkripsi sebagai sesuatu yang misterius, seni gelap, tetapi sebagai perlindungan dasar. untuk dunia digital. "


Snowden kemudian memberikan contoh pribadi. NSA telah bekerja keras untuk mencari tahu dokumen apa yang dia bocorkan, tetapi mereka tidak tahu, hanya karena mereka tidak dapat mendekripsi file-nya. Bruce Schneier juga mendukung enkripsi. Meski begitu, Schneier menahan dukungannya dengan sebuah peringatan.


"Perangkat lunak sumber tertutup lebih mudah bagi NSA untuk backdoor daripada perangkat lunak open-source. Sistem yang mengandalkan rahasia master rentan terhadap NSA, baik melalui cara legal atau lebih rahasia, " katanya.


Dalam sedikit ironi, komentar Schneier juga dibuat sebelum TrueCrypt ditutup, dan sebelum pengembang TrueCrypt mulai menyarankan agar orang menggunakan BitLocker. Ironisnya: TrueCrypt adalah open source, sedangkan BitLocker adalah sumber tertutup.

Mempercayai enkripsi semakin sulit