Gør backdoors faktisk hjælp til retshåndhævelse Fang dårlige drenge?

Hack

SAN FRANCISCO-Mens Apple står over for FBI i retten og retshåndhævelse kræver backdør til krypteringstjenester, spurgte en forsker på RSA-konferencen et vigtigt spørgsmål: Vil backdoors faktisk hjælpe?

RSA 2016 bug artKrypto-ekspert Klaus Schmeh, der i øjeblikket var en konsulent hos Cryptovision, brugte sin kendskab til kryptografi og nogle lange Googling for at se om bagdøre kunne have gjort en forskel i kriminelle sager. Hans svar: sandsynligvis ikke.

Sagerne
Efter 20 dage med at kæmpe gennem nyhedswebsteder, fandt Schmeh et corpus af 50 straffesager, der involverede kryptering på en eller anden måde. Af disse var flertallet (16-sager) om børnepornografi. Yderligere syv tilfælde var mord, seks var terrorrelaterede og fem involverede spionage. De andre 16 sager faldt ind i forskellige andre kategorier.

I 33 af 50-sagerne kunne politiet ikke bryde eller omgå krypteringen. Faktisk var de kun succesfulde i 11-tilfælde, med flere uberegnede.

I alle tilfælde blev de krypterede filer opnået ved konfiskation af en enhed af en eller anden art. Dette overraskede Schmeh, som forventede at finde i det mindste nogle få tilfælde af wiretapping eller dataaflytning. Det kan dog simpelthen være, at retshåndhævelsen i disse tilfælde ikke ønskede at diskutere brugen af ​​sådanne kontroversielle taktikker. "I de fleste tilfælde mistede politiet, og det er helt sikkert en af ​​grundene til det [FBI direktør] Comey ønsker at have bagdøre i krypteringsprodukter, "sagde Schmeh.

Et interessant punkt er, at i to af 50-sagerne Schmeh profilerede, var det offer for forbrydelsen og ikke den mistænkte eller gerningsmand, der havde krypteret information.

Gør backdoors arbejde?
I alle de tilfælde, Schmeh så på, blev 25 løst uden at politiet bryder krypteringen. I kun tre ud af 50-sagerne forsøgte politi heller ikke at løse forbrydelsen eller revne de krypterede filer. Dette, sagde Schmeh, viste, at bagdøre ikke er en "magisk kugle" til undersøgelser.

"Det ville have været afgørende, men ville ikke have været en garanti," sagde Schmeh.

I de tilfælde, hvor retshåndhævelsen var i stand til at dekryptere filerne, var det primært ved at omgå krypteringen. I tilfælde af Anna Chapman, den russiske spion indfanget i USA, fandt efterforskerne et stykke papir, hvor Chapman havde skrevet sine adgangskoder. I et andet tilfælde downloadede en FBI-agent indholdet af en krypteret Personal Digital Assistant, som den mistænkte havde forladt ulåst. Schmeh nævnte også en sag, hvor det forekom, at canadisk retshåndhævelse med succes brutte-tvunget et kodeord med tilfældige gæt, men det tog 2.5 år at fuldføre.

Ring efter hjælp
Schmeh foreslog et alternativ til at tilføje en bagdør til krypteringssystem eller tvinge virksomheder til at oprette specialiserede værktøjer til at bryde åbne sikrede enheder. Han foreslog, at politiet kunne offentliggøre ciphertext-det vil sige den krypterede tekst - og bede offentligheden om hjælp til at bryde den.

Krypteringssystemer, der bruger en adgangskodeafledt nøgle (og ikke en offentlig nøgle), forklarer Schmeh, har ofte en krypteret nøglecheckstreng før ciphertext. Den nøglecheck-streng kan adskilles fra chifferteksten og udsættes for et brute-force-angreb, der i sidste ende vil give den korrekte nøgle og igen kodeordet for at dekryptere resten af ​​chifferteksten.

Denne tilgang, sagde Schmeh, ville give lovhåndhævelsen mulighed for at crowdsource en løsning, mens du stadig holder ciphertext hemmeligheden.

Interessant nok havde Schmeh flere historiske eksempler på retshåndhævende myndigheder, der offentliggjorde kiphertext i et forsøg på at hjælpe en undersøgelse. Mens mange af disse var fascinerende (og mystiske!) Var de alle eksempler på klassisk eller manuel kryptering. Dybest set koder skrevet ud for hånd, og ikke den komplekse algoritme-drevne kryptering, der anvendes i digitale enheder i dag.

Åbn ikke døren
Det er vigtigt at bemærke sondringen mellem bagdøre i kryptering og hvad Apple kæmper for øjeblikket i domstolene. Apples klage hænger sammen med at blive bedt om at oprette en særlig version af iOS, der vil give FBI mulighed for at låse telefonen op. En backdooor til kryptering ville derimod skabe en slags mekanisme til retshåndhævelse til at dekryptere filer uden nøglen. Forskningen Schmeh præsenterede fokus på krypterede drev og filer og scenarier, hvor politiet ville have bagdøre, ikke det slags værktøj, som FBI ønsker fra Apple.

Det er ikke at sige, at der ikke er dem i Washington, der kræver oprettelse af bagdøre. Det US Attorney General Loretta Lynch sagde under hendes tale på RSA, at kryptering kunne modvirke retshåndhævelse. Ved at bruge udtrykket, der ofte bruges til at angribe kryptering, sagde hun, at "at gå mørkt er et meget reelt problem." På den modsatte side sagde forsvarsminister Ashton Carter på RSA, at han ikke støttede bagdøre, og at han støtter stærk kryptering.

Schmeh var ydmyg i sin præsentation og tog smerter til at påpege begrænsningerne i hans forskning. Han var for eksempel begrænset til rapporter i den offentlige presse og på sprog, han kunne læse. Der var også flere tilfælde, hvor pressen ikke havde tilstrækkelige detaljer. Men stadig konkluderede han, at bagdøre var for meget af en risiko for at ansætte.

"Der vil være nogle tilfælde, hvor politiet kan drage fordel af bagdøre, men der er ikke for mange af dem i min samling. De kan være nyttige i nogle tilfælde, men prisen vi betaler for dem er for høj, "konkluderede Schmeh.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.