Криптография, безусловно, является одним из самых важных предметов в век информации. Каждый раз, когда вы куда-то входите в систему, существует своего рода алгоритм, сверяющий ваш пароль с хешированным значением, которое определяет, можете ли вы пройти аутентификацию в своей учетной записи или нет. Так мы держим хакеров на расстоянии. Итак, что происходит, когда алгоритм, который должен обеспечивать вашу безопасность, имеет бэкдор, который позволяет определенным людям иметь беспрепятственный доступ к вашим учетным записям и личным записям?
19 мая 2015 г. Apple и Google призвал президента США Барака Обаму пересмотрят возможность заставить частные технологические компании включать бэкдоры в свои криптографические алгоритмы. Я стремлюсь объяснить, как это влияет на нас как потребителей технологий и на прибыль корпораций, которые предоставляют нам эти технологии.
Немного истории: Dual_EC_DRBG
Вас можно простить, если термин «Dual_EC_DRBG» покажется вам непонятной тарабарщиной, но, возможно, этот термин связан с одним из крупнейших скандалов в истории технологий шифрования. Наша история начинается в начале 2000-х годов, когда криптография на основе эллиптических кривых начала внедряться в компьютерные системы. До этого генерация случайного числа была затруднительной задачей из-за присущей ему предсказуемости. Видите ли, люди могут очень эффективно генерировать случайные числа, поскольку мы все думаем по-разному. Можете ли вы сказать, о каком числе от 1 до 100 000 я сейчас думаю? У вас есть шанс 1:100 000 дать правильный ответ, если вы просто угадаете наугад. С компьютерами дело обстоит иначе. Они совершенно ужасны в этом, поскольку обычно полагаются на другие фиксированные ценности, чтобы прийти к своим «выводам». Поскольку они не могут «думать», нам приходится синтезировать для них этот процесс. Криптография с использованием эллиптических кривых делает процесс генерации случайного числа гораздо менее предсказуемым, чем традиционные методы.
Вернемся к истории. Агентство национальной безопасности (АНБ) предложило модуль Dual_EC_DBRG для генерации этих чисел. Оно не было принято.
Однако на этом все не заканчивается. В 2004 году АНБ заключило сделку на 10 миллионов долларовс создателями криптосистемы RSA (людьми, которые в то время имели наибольшую долю рынка в криптографии), чтобы сделать их модуль Pet модулем по умолчанию для RSA. Мы не знаем, использовало ли АНБ бэкдор но у Dual_EC_DRBG он наверняка был . Тот факт, что АНБ так настойчиво включало этот модуль в криптографию RSA, не подтверждает аргументов против предшествующих знаний.
Перенесемся в 2015 год, и теперь правительство США, а также правительства других стран мира выступили с просьбой к частным компаниям включить бэкдоры в свои алгоритмы шифрования.
Почему бэкдоры вредны для всех остальных
Возможно, вы уже догадались, чем плохи бэкдоры. Это несложно, правда? Дело в том, что помимо вторжения в частную жизнь государственных органов существуют и другие невидимые последствия использования бэкдоров для шифрования.
Во-первых, если хакер обнаружит бэкдор (именно так началось упомянутое ранее фиаско Dual_EC_DBRG), вы можете практически гарантировать, что кто угодно сможет использовать его, чтобы получить доступ к вещам, которые являются для вас очень личными.
Вторую причину, почему бэкдоры ужасны, лучше всего выразить в форме вопроса: зная, что не только правительство, но и любойДжон Доу может просмотреть ваши личные данные, Вы когда-нибудь снова открывали где-нибудь счет? Люди сейчас полагаются на технологии, потому что доверяют им. Устраните доверие, и вы увидите очень мало клиентов на корпоративном рынке. Да, потребители могут по-прежнему использовать зашифрованные и подключенные технологии, но предприятия массово откажутся от них. Многие из наших любимых производителей в значительной степени полагаются на свою базу корпоративных клиентов.
Таким образом, эта идея плоха не только для потребителей, но и для прибыли компаний, которые предоставляют нам то, что мы любим. Вот почему такие гиганты, как Apple и Google, так обеспокоены этой политикой.
Как вы думаете, что нам следует сделать? Является ли возможный закон по этому поводу вообще осуществимым? Расскажите нам в комментариях!
