Ιστορίες από την κρύπτη

Από όλες τις αποκαλύψεις σχετικά με την NSA που έχουν έρθει στο φως κατά τους τελευταίους μήνες, δύο ξεχωρίζουν ως οι πιο ανησυχητικές και προκαλούν έκπληξη στους ειδικούς επί της ασφάλειας στον κυβερνοχώρο. Η πρώτη, ότι η NSA δούλεψε για να αποδυναμώσει τα διεθνή πρότυπα κρυπτογράφησης [1] που καθορίζουν το πώς οι υπολογιστές διασφαλίζουν τις επικοινωνίες και τα δεδομένα. Η δεύτερη, είναι ότι η NSA έχει εισάγει σκόπιμα κερκόπορτες στην ασφάλεια κρίσιμου λογισμικού και υλικού. Εάν η NSA έχει πράγματι εμπλακεί σε τέτοιες δραστηριότητες, έθεσε σε κίνδυνο την ασφάλεια των υπολογιστών στις Ηνωμένες Πολιτείες (και στον κόσμο) όσο οποιεσδήποτε κακόβουλες επιθέσεις έχουν γίνει μέχρι στιγμής.

Κανείς δεν εκπλήσσεται από το γεγονός ότι η NSA σπάει κωδικούς. Ο οργανισμός είναι διάσημος για την ικανότητα του στην ανάλυση κρυπτογραφημένων σημάτων. Και, σε γενικές γραμμές, ο αγώνας μεταξύ των σχεδιαστών που προσπαθούν να δημιουργήσουν ισχυρούς κώδικες και των αποκρυπτογράφων που προσπαθούν να τους σπάσουν, τελικά ωφελεί την ασφάλεια. Αλλά η κρυφή εμφύτευση σκόπιμων αδυναμιών ή η ενεργός ενθάρρυνση του κοινού να χρησιμοποιεί κωδικούς που έχουν ήδη σπάσει κρυφά - ιδιαίτερα υπό την αιγίδα τής κυβερνητικής εξουσίας - είναι βρώμικα κόλπα. Μειώνουν την ασφάλεια των υπολογιστών για όλους και βλάπτουν τα εθνικά κυβερνοαμυντικά συμφέροντα των Ηνωμένων Πολιτειών με μια σειρά από τρόπους.

ΠΡΟΔΟΜΕΝΟΙ

Λίγοι άνθρωποι συνειδητοποιούν την έκταση στην οποία η κρυπτογράφηση που στηρίζει την ασφάλεια στο Internet βασίζεται στην εμπιστοσύνη. Ένα από τα βρώμικα μυστικά τού κόσμου τής κρυπτογράφησης είναι ότι κανείς δεν γνωρίζει πώς να αποδείξει μαθηματικά ότι ο πυρήνας των αλγόριθμων κρυπτογράφησης - που είναι τα θεμέλια των online οικονομικών συναλλαγών και των κρυπτογραφημένων φορητών υπολογιστών - είναι ασφαλής. Αντ’ αυτού, έχουμε εμπιστοσύνη ότι οι αλγόριθμοι είναι ασφαλείς επειδή δημιουργήθηκαν από μερικούς από τους πιο έμπειρους κρυπτογράφους τού κόσμου και επειδή άλλοι ειδικοί προσπάθησαν επιμελώς να τους σπάσουν και απέτυχαν.

Από το 1970, το αμερικανικό Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (National Institute of Standards and Technology, NIST), έχει διαδραματίσει κεντρικό ρόλο στον συντονισμό αυτής της εμπιστοσύνης, και στο να αποφασιστεί ποιοί αλγόριθμοι είναι αξιόλογοι, θέτοντας πρότυπα κρυπτογράφησης που χρησιμοποιούνται από κυβερνήσεις και βιομηχανίες σε όλο τον κόσμο. Το NIST έχει κάνει αξιοθαύμαστη δουλειά στην οργάνωση των προσπαθειών των κρυπτογραφικών ειδικών να σχεδιάσουν και να αξιολογήσουν τους αλγόριθμους κρυπτογράφησης. Έχει επίσης την δυνατότητα να αξιοποιήσει την επιρροή τής κυβέρνησης των ΗΠΑ για να πάρει αυτά τα σχέδια - συμπεριλαμβανομένης κορυφαίας τεχνολογίας όπως ο κώδικας AES, οι λειτουργίες απόκρυψης SHA-2, και η κρυπτογραφία δημόσιου κλειδιού βασισμένη σε ελλειπτικές καμπύλες – που έχουν υιοθετηθεί από την βιομηχανία. Με την σειρά της, η αμερικανική βιομηχανία πίστευε ότι θα μπορούσε να εμπιστεύεται ότι οι τεχνολογίες αυτές είχαν σχεδιαστεί από τον αρμόδιο οργανισμό με γνώμονα τα συμφέροντά της.

Υπάρχουν πλέον αξιόπιστες αποδείξεις ότι η NSA έχει πιέσει το NIST, σε μια τουλάχιστον περίπτωση, θα κανονικοποιήσει έναν κατώτερο αλγόριθμο [2] σχεδιασμένο με κερκόπορτα για να την χρησιμοποιεί η NSA. Δεκάδες εταιρείες [3] εφάρμοσαν τον τυποποιημένο αλγόριθμο στο λογισμικό τους, πράγμα που σημαίνει ότι η NSA θα μπορούσε ενδεχομένως να παρακάμψει το λογισμικό ασφάλειας σε εκατομμύρια υπολογιστές σε όλο τον κόσμο. Πολλοί στην κρυπτογραφική κοινότητα τώρα φοβούνται ότι κι άλλοι αλγόριθμοι του NIST μπορεί να έχουν επίσης υπονομευθεί. Δεδομένου ότι κανείς δεν γνωρίζει ποιοι, όμως, κάποιοι αναγνωρισμένοι κρυπτογράφοι [4] αμφισβητούν την αξιοπιστία [5] τού συνόλου των προτύπων του NIST.

Εάν η απώλεια της εμπιστοσύνης στο NIST γίνει μόνιμη, ο κόσμος θα μπορούσε να επιστρέψει σε μια εποχή κατακερματισμένων εθνικών και βιομηχανικών προτύπων. Αυτό θα προκαλέσει περισσότερη δουλειά στους φορείς υλοποίησης και θα μειώσει την ασφάλεια για όλους. Η ιστορία των υπολογιστών είναι γεμάτη με παραδείγματα κακού σχεδιασμού και ατελών βιομηχανικών προτύπων: για παράδειγμα, η κρυπτογράφηση που υποτίθεται ότι θα εμπόδιζε την αντιγραφή των DVD, ο κώδικας A5 / 1 που υποτίθεται ότι θα εξασφάλιζε τις κλήσεις από GSM τηλέφωνα, και η κρυπτογράφηση WEP που υποτίθεται θα κρατούσε τα ιδιωτικά δίκτυα WiFi. Όλα αυτά τα πρότυπα περιέχουν ατέλειες που επιτρέπουν το σπάσιμο της κρυπτογράφησης, εκθέτοντας τις βιομηχανίες που τα ανέπτυξαν σε αμηχανία και σε οικονομικές απώλειες και εκθέτοντας τους τελικούς χρήστες σε προβλήματα ασφάλειας. Ακόμα χειρότερο από τα αποσπασματικά πρότυπα του κλάδου θα ήταν αν ορισμένοι φορείς υλοποίησης, φοβούμενοι κερκόπορτες στην κρυπτογράφηση που έχει «χτενιστεί» από την κυβέρνηση, στραφούν σε παραπλανητικούς αλγόριθμους κρυπτογράφησης που δεν προσφέρουν πραγματική προστασία. Η κατάσταση αυτή, βέβαια, μπορεί εξ ολοκλήρου να αποφευχθεί. Η NSA γνωρίζει ποια πρότυπα έχει αποδυναμώσει και ποια είναι ανόθευτα. Θα μπορούσε να αποκαταστήσει την εμπιστοσύνη με ένα ξεκαθάρισμα.

ΟΠΙΣΘΟΔΡΟΜΗΣΗ

Πέρα από την υπονόμευση των προτύπων τού NIST, οι δραστηριότητες της NSA έχουν κλονίσει την εμπιστοσύνη στις αναδυόμενες τεχνολογίες κρυπτογράφησης που είναι μεταξύ των καλύτερων ελπίδων μας για την βελτίωση της ασφάλειας του κυβερνοχώρου στο εγγύς μέλλον. Ένα βασικό παράδειγμα είναι η κρυπτογραφία ελλειπτικής καμπύλης, η οποία είναι μια τεχνολογία επόμενης γενιάς η οποία, στο βαθμό που γνωρίζουμε στον μη διαβαθμισμένο κόσμο, είναι ανώτερη από αυτήν που χρησιμοποιούμε σήμερα.