FBI Backdoors vil ikke hjelpe noen - ikke engang FBI
FBI har nylig vært i nyhetene med sin kampanje for å tvinge teknologibedrifter til å endre krypteringsmetoder. Hvordan virker kryptering, og er det virkelig trygt? Hvordan virker kryptering, og er det virkelig trygt? Les mer for å gjøre det lettere å snuse på brukerens meldinger. Ifølge FBI er dette en fornuftig forandring: Kriminelle stoler på disse krypterte tjenestene for å kommunisere i hemmelighet, og konstitusjonen gir dem rett til å gripe inn informasjon (som brev og dokumenter) når en lovlig warrant er presentert.
Så hvorfor ikke gi FBI muligheten til å lese krypterte dokumenter?
Hvis vi ikke klarer å ta disse trinnene, advarer FBI, kriminelle og terrorister vil fortsette å bli mørke - for å flytte trafikken til anonyme meldingsplattformer som ikke kan overvåkes nøyaktig. Dette, sier de, gir maktbalansen i hendene på dårlige mennesker. Regjeringen i Storbritannia har gjort like store advarsler. Hvorfor Snapchat & iMessage virkelig kunne bli utestengt i Storbritannia Hvorfor Snapchat & iMessage virkelig kunne bli utestengt i Storbritannia? Tale til et rom fullt av partiaktivister i Nottingham, uttalte statsminister David Cameron at kryptering for meldinger ville bli forbudt hvis partiet hans skulle få flertall ved neste generalvalg. Les mer .
Ifølge FBI-direktøren James Comey:
“ISILs M.O. er å kringkaste på Twitter, få folk til å følge dem, og deretter flytte dem til Twitter Direct Messaging” å vurdere om de er en lovlig rekruttering, sa han. “Da flytter de dem til en kryptert mobilmeldingsapp, slik at de blir mørke for oss.”
FBI gjør heller ikke ledig snakking. Neste kamp i personvernkrigen skjer stort sett i hemmelighet hos Apple, Inc. Administrerende direktør, Tim Cook, har gjort stadig sint uttalelser om brukers personvern, inkludert følgende:
“[T] her var rykter og ting skrevet i pressen at folk hadde bakdører til våre servere. Ingen av det er sant. Null. Vi ville aldri tillate det å skje. De ville måtte vogn oss ut i en boks før vi skulle gjøre det.”
Ryktene har sirkulert for en stund at FBI forsøker å presse selskapet til å legge til “sikkerhetsdører” til kryptering i sine produkter og tjenester (som iPhone og iMessaging). Nå er det noen offentlige bevis på at dette skjer. Justisdepartementet har utstedt en rettskjennelse til Apple, og krevde at de veksle loggbokmeldinger i sanntid mellom to mistenkte i et tilfelle av vold og narkotikakriminalitet. Apple har nektet å si at selv de ikke kan knekke brukerkryptering - det er jo tross alt.
Reaksjonen fra FBI og DoJ har vært at de vurderer å ta Apple til retten over det - antagelig å forsøke å få en rettsordre for å tvinge selskapet til å bakdør deres kryptering. ZDNet advarer om at hvis dette skjer, kan Apple bli tvunget til å kapitulere. Det ville ikke være første gang noe som dette skjedde: I 2014 var Yahoo endelig i stand til å diskutere sin hemmelige FISA-domstolsforbindelse med PRISM, regjeringsovervåkingsprogrammet som ble avslørt av Edward Snowden Hero eller Villain? NSA modererer sin holdning til Snowden Hero eller Villain? NSA modererer sin holdning til Snowden Whistleblower Edward Snowden og NSAs John DeLong dukket opp på planen for et symposium. Mens det ikke var noen debatt, virker det som NSA ikke maler Snowden lenger som en forræder. Hva er forandret? Les mer, tilbake i begynnelsen av 2000-tallet. Da den nektet å vende om brukerinformasjon, ble Yahoo møtt av store, hemmelige bøter - $ 250 000 hver dag, doblet hver måned. For konteksten ville den daglige bøten ha overskredet verdens BNP på $ 74 billioner dollar på litt over to år.
Implementeringsproblemer
Selv å ignorere de ulike moralske og konstitusjonelle bekymringene med denne typen ting, er det også mange tekniske problemer med forslaget. Siden FBI begynte å presse på kryptering bakdørene, har en rekke sikkerhetsforskere kommet frem for å påpeke noen grunnleggende feil i hele konseptet.
For det første vil noen vanlige sikkerhetseksperter fortelle deg at “sikre bakdører” at Comey ønsker egentlig ikke eksisterer. Direktøren for Federal Trade Commission har rett og slett sagt at forslaget er en dårlig ide. Det er ingen måte å legge igjen en bakdør i et sterkt krypteringssystem uten alvorlig skade på den generelle sikkerheten. Kryptosystemer som har den egenskapen bare eksisterer ikke. Kryptografi er ikke noe som kan bli innvilget i eksistens.
TechDirt har en ganske flott artikkel som ripper denne ideen fra hverandre. Et valg sitat:
“Jeg er ganske imponerende at Comey fortsetter å insistere på at de lyse sinnene i Silicon Valley kan drysse noen magiske lunsstøv og gi ham det han vil, men påstår samtidig at det er for vanskelig for FBI å faktisk kvantifisere hvor stort et problemkryptering er for undersøkelsene. Videre kan han ikke engang gi en singel ekte verden eksempel for hvor kryptering har vært et reelt problem.”
Selv om et slikt system kunne opprettes, er det en annen alvorlig feil: vi ville gi nøkkelen til regjering. Den samme regjeringen som ikke engang kan holde sine egne personopptegnelser trygge Hva er OPM Hack, og hva betyr det for deg? Hva er OPM Hack, og hva betyr det for deg? I flere uker har nyheter som kommer ut av Office of Personnel Management (OPM), blitt stadig verre, etter et hack av historiske proporsjoner. Men hva skjedde egentlig, og hva kan du gjøre med det? Les mer, og gikk måneder eller år uten å merke seg at de hadde blitt hacket. Edward Snowden, en entreprenør, gikk ut med detaljer om NSAs mest sensitive forhold. Hvor mange timer tror du det ville ta for den kinesiske regjeringen å få en kopi av nøkkelen? Hvor mange dager før det dukker opp på det mørke nettet Hvordan finne aktive løknettsteder (og hvorfor du kanskje vil) Slik finner du aktive løknettsteder (og hvorfor du kanskje vil) Løksteder er vert på Tor-nettverket. Men hvordan finner du aktive løksteder? Og hvilke er de du skal gå til? Les mer, og noen halvkompetente hacker kan få tilgang til alles bankkonto? Datasikkerhetsstandardene i den amerikanske regjeringen er ikke engang nær god nok til å overlate sikkerheten til hele Internett.
Falske formål
Det er et større problem, men det går rett til hjertet av hele argumentet: nemlig at disse typer bakdører ikke faktisk løser det problemet FBI er ment for bekymret for. FBIs begrunnelse henger på alvorlige trusler - ikke narkotika-avtaler og pengesnekkere, men terrorister og menneskehandlere. Dessverre er disse menneskene som blir minst berørt av disse bakdørene.
Terrorister og kriminelle er ikke uvitende om kryptering. De som bruker kryptering, gjør det med vilje, for å unngå overvåkning. Det er naivt å tro at de ikke vil merke når FBI lykkes med å få en slags bakdør. Terrorister og våpenhandlere skal ikke bare fortsette å bruke en bakdør iMessenger - de skal bytte til krypterte chatprogrammer Slik sikrer og krypterer du chat-chatene dine Slik sikrer du og krypterer chatmeldingene dine Les mer utviklet i andre land, eller til åpen kildekode programvare hvis sikkerhet de kan verifisere. De som er sårbare mot bakdørene, vil være de for uinformerte til å bruke bedre datasikkerhet - aka, smålig kriminelle og de fleste lovlydige borgere.
Kryptografiske bakdører er mye mer nyttige for snooping på bestemoren din enn de er for snooping på ISIL, og FBI vet sannsynligvis dette. Så ta sine riktige advarsler om terrorister med et saltkorn om størrelsen på Utah.
FBI vil selvsagt argumentere for at det ikke er noen personvernproblemer tatt opp for lovlydige borgere. Tross alt ville de fortsatt kreve en warrant for å få tilgang til denne informasjonen, akkurat som de ville søke i huset eller arkivskapet. Men disse er ikke de uinformerte, uskyldige dager før Snowden lekker.
Vi vet om eksistensen av hemmelige domstoler som utsteder hemmelige warrants basert på hemmelig bevis. Disse domstolene nekter ikke å utstede warrants, fordi det ikke er deres hensikt. De er gummistempler i alt annet enn navn. Be oss om å stole på vårt personvern til et slikt system er aktivt fornærmende.
Her er sikkerhetsekspert Bruce Schneier Security Expert Bruce Schneier på passord, personvern og tillitssikkerhetskunnig Bruce Schneier på passord, personvern og tillit Lær mer om sikkerhet og personvern i vårt intervju med sikkerhetsekspert Bruce Schneier. Les mer som uttrykker et lignende syn på bloggen hans, Schneier on Security,
“Tenk deg at Comey har det han ville ha. Tenk deg at iMessage og Facebook og Skype, og alt annet laget av USA, hadde sin bakdør. ISIL-operasjonen ville fortelle at hans potensielle rekrutter kunne bruke noe annet, noe sikkert og ikke-USA-laget. Kanskje et krypteringsprogram fra Finland, eller Sveits, eller Brasil. Kanskje Mujahedeen Secrets. Kanskje noe.”
En historie med overvåking
Dette er ikke første gang ulike myndigheter har forsøkt noe som dette. På 1990-tallet forsøkte Clinton-administrasjonen å tvinge teknologibransjen til å installere overvåkingsutstyr i sine enheter - den såkalte “Clipper chip,” som ville tillate myndigheter å kringgå sterk kryptering.
I så fall ble det også funnet sårbarheter i systemet, noe som gjorde enhetene mindre sikre og tillater kriminelle å omgå det i alle fall. Forslaget ble beseiret. I en analyse kalt “Nøkler under dørmatter: Mandating usikkerhet ved å kreve statlig tilgang til all data og kommunikasjon,” Mer enn et dusin sikkerhetsforskere uttrykker oppfatningen om at det nye forslaget ville bli enda verre. Fra det abstrakte:
“For tjue år siden lobbede lovhåndhevelsesorganisasjoner for å kreve datatjenester og kommunikasjonstjenester for å konstruere sine produkter for å garantere adgang til alle data i lovhåndhevelse. Etter langvarig debatt og kraftige spådommer om håndhevelseskanaler blir mørke, ble disse forsøkene på å regulere den fremvoksende Internett forlatt.
I de siste årene blomstrer innovasjon på Internett, og rettshåndhevelsesbyråer fant nye og mer effektive måter å få tilgang til store mengder data. I dag hører vi igjen krav til regulering for å mandat til å levere unike tilgangsmekanismer.
I denne rapporten har en gruppe datavitenskapere og sikkerhetseksperter, hvorav mange deltok i en 1997-studie av de samme emnene, samlet inn for å undersøke de sannsynlige konsekvensene av å innføre ekstraordinære tilgangsmandater. Vi har funnet ut at skaden som kan være forårsaket av ekstraordinære adgangskrav til rettshåndhevelse, ville bli enda større i dag enn det ville vært for 20 år siden.”
For mye for lite
For å oppsummere: kryptering bakdører er en dårlig ide, teknisk og praktisk. De løser ikke lovhåndhevelsens store problemer, men de oppretter nye for forbrukere og alle andre som er avhengige av sikkerhet. Tvinge dem på næringen vil være dyrt utenom troen, og vi vil få nesten ingenting i retur. De er en dårlig ide, foreslått i ond tro. Og med noe hell vil den voksende klamren av stemmer mot ideen sette dem igjen en gang.
Hva tror du? Skulle regjeringen ha mulighet til å kompromittere kryptering? Gi oss beskjed om dine tanker i kommentarene!
Image Credits: blokkerer døråpningen av Mopic via Shutterstock
Utforsk mer om: Online personvern, Internett-sikkerhet, Overvåkning.