Kryptografiske bagdøre forklaret
Kryptografi er langt et af de vigtigste emner i informationsalderen. Hver gang du logger ind et sted, er der en algoritme af en slags, der verificerer dit kodeord mod en hashed-værdi, der afgør, om du kan godkende til din konto eller ej. Det er, hvordan vi holder hackere i stykker. Så hvad sker der, når algoritmen, der skal holde dig sikker, har en bagdør, der gør det muligt for visse mennesker at få uhindret adgang til dine konti og personlige poster?
Den 19. maj 2015 opfordrede Apple og Google amerikanske præsident Barack Obama til at genoverveje at tvinge private teknologitjenester til at omfatte bagdøre i deres kryptografiske algoritmer. Jeg har til formål at forklare, hvordan dette påvirker os som forbrugere af teknologi og de nederste linjer i de virksomheder, der giver os den nævnte teknologi.
Lidt lidt historie: Dual_EC_DRBG
Du kan blive tilgivet, hvis udtrykket "Dual_EC_DRBG" lyder som buggetisk til dig, men det er måske et udtryk, der er bundet til en af de største skandaler i krypteringsteknologien. Vores historie begynder i begyndelsen af 2000'erne, da elliptisk kurve kryptografi begyndte at slå rod i edb-systemer. Indtil da var generering af et tilfældigt tal en smerte på grund af dens iboende forudsigelighed. Du kan se, at folk kan generere tilfældige tal meget effektivt, da vi alle tænker anderledes. Kan du fortælle hvilket nummer mellem 1 og 100.000, jeg tænker på lige nu? Du har en 1: 100.000 chance for at få svaret rigtigt, hvis du bare gætter tilfældigt. Det er ikke det samme med computere. De er fuldstændig forfærdelige på dette, da de normalt stoler på andre faste værdier for at komme til deres "konklusioner." Da de ikke kan "tænke", skal vi syntetisere processen for dem. Elliptisk kurve kryptografi gør processen med at generere et tilfældigt tal meget mindre forudsigeligt end konventionelle metoder.
Tilbage til historien. Det Nationale Sikkerhedsagentur (NSA) skød et modul kaldet Dual_EC_DBRG som en mulighed for at generere disse tal. Det blev ikke bestået.
Det slutter dog ikke der. I 2004 lavede NSA en $ 10 millioner aftale med skaberne af RSA-kryptosystemet (de personer, der på det tidspunkt havde den største markedsandel i kryptografi) for at gøre deres kæledyrsmodul til standard for RSA. Vi ved ikke, om NSA inkluderede bagdøren, men Dual_EC_DRBG havde bestemt en. Det forhold, at NSA var så insisterende på at inkludere dette modul i RSA-kryptografi, hjælper ikke sagen mod forudgående viden.
Hurtigt frem til 2015, og nu har du den amerikanske regering og andre regeringer rundt om i verden, der kommer frem til at bede private virksomheder om at inkludere bagdøre til deres krypteringsalgoritmer.
Hvorfor Backdoors er dårlige for alle andre
Du har måske allerede en idé om, hvorfor bagdøre er dårlige. Det er en no-brainer, right? Sagen er, at der er andre usynlige konsekvenser for at introducere bagdøre til kryptering bortset fra invasion af privatlivets fred af offentlige enheder.
Først og fremmest, hvis en hacker opdager bagdøren (hvilket er præcis, hvordan Dual_EC_DBRG-fiaskoen nævnt tidligere startede), kan du næsten garantere, at enhver kan udnytte den til at kigge på ting, der er meget private for dig.
Den anden grund til, at bagdøre er forfærdelige, kan bedst udtrykkes i form af et spørgsmål: Ved at vide, at ikke kun regeringen, men nogen John Doe, kan se på dine private data, ville du nogensinde åbne en konto hvor som helst igen? Folk er afhængige af teknologi lige nu, fordi de stoler på det. Eliminere tilliden, og du vil se meget få kunder på bedriftsmarkedet. Ja, forbrugerne kan stadig bruge krypterede og tilsluttede teknologier, men virksomhederne vælger at udtrække i krammer. Mange af vores foretrukne producenter er stærkt afhængige af deres forretningsbaserede kundebaser.
Så ikke kun denne ide er dårlig for forbrugerne, men også dårlig for bundlinjen af de virksomheder, der giver os de ting, vi elsker. Derfor er giganter som Apple og Google så bekymrede over disse politikker.
Hvad tror du, vi skal gøre? Er en mulig lov på dette lige eksigible? Fortæl os i en kommentar!