Kryptografiske bakdører forklart
Kryptografi er langt en av de viktigste fagene i informasjonsalderen. Hver gang du logger deg inn et sted, er det en algoritme av noe slag som bekrefter passordet ditt mot en hashed-verdi som bestemmer om du kan autentisere til kontoen eller ikke. Det er hvordan vi holder hackere i sjakk. Så, hva skjer når algoritmen som skal holde deg trygg, har en bakdør som gjør at enkelte mennesker har uhindret tilgang til dine kontoer og personlige poster?
Den 19. mai 2015 oppfordret Apple og Google til amerikanske president Barack Obama til å revurdere å tvinge private teknologitjenester til å inkludere bakdører i deres kryptografiske algoritmer. Jeg tar sikte på å forklare hvordan dette påvirker oss som forbrukere av teknologi og de nederste linjene i selskapene som gir oss den nevnte teknologien.
En liten bit av historie: Dual_EC_DRBG
Du kan bli tilgitt hvis begrepet "Dual_EC_DRBG" høres ut som en bølgisk gibberish til deg, men det er kanskje et begrep knyttet til en av de største skandalene i krypteringsteknologiens historie. Vår historie begynner tidlig på 2000-tallet, da elliptisk kurvekryptografi begynte å skape rot i datasystemer. Inntil da var generering av et tilfeldig tall en smerte på grunn av dens iboende forutsigbarhet. Du ser, folk kan generere tilfeldige tall veldig effektivt siden vi alle tenker annerledes. Kan du fortelle hvilket nummer mellom 1 og 100 000 jeg tenker på akkurat nå? Du har en 1: 100.000 sjanse for å få svaret riktig hvis du bare gjette tilfeldig. Det er ikke det samme med datamaskiner. De er helt fryktelige på dette siden de vanligvis stoler på andre faste verdier for å komme til sine "konklusjoner." Siden de ikke kan "tenke", må vi syntetisere prosessen for dem. Elliptisk kurve kryptografi gjør prosessen med å generere et tilfeldig tall mye mindre forutsigbart enn konvensjonelle metoder.
Tilbake til historien. National Security Agency (NSA) presset en modul kalt Dual_EC_DBRG som mulighet for å generere disse tallene. Det ble ikke bestått.
Det slutter ikke der, skjønt. I 2004 gjorde NSA en $ 10 millioner avtale med skaperne av RSA-kryptosystemet (menneskene som på den tiden hadde størst markedsandel i kryptografi) for å gjøre deres kjæledyrmodul som standard for RSA. Vi vet ikke om NSA inkludert bakdøren, men Dual_EC_DRBG hadde sikkert en. Det faktum at NSA var så insisterende på å inkludere denne modulen i RSA kryptografi, hjelper ikke saken mot forkunnskap.
Raskt frem til 2015, og nå har du den amerikanske regjeringen så vel som andre regjeringer over hele verden kommer frem til å spørre private selskaper om å inkludere bakdører til krypteringsalgoritmer.
Hvorfor Backdoors er dårlig for alle andre
Du har kanskje allerede en ide om hvorfor bakdører er dårlige. Det er en ikke-brainer, ikke sant? Saken er at det er andre usynlige konsekvenser for å introdusere bakdører til kryptering bortsett fra invasjonen av privatliv fra statlige enheter.
Først og fremst, hvis en hacker oppdager bakdøren (som er akkurat slik Dual_EC_DBRG-fiaskoen nevnt tidligere startet), kan du bare garantere at alle kan utnytte den til å ta en titt på ting som er veldig private for deg.
Den andre grunnen til at bakdørene er fryktelige, kan best uttrykkes i form av et spørsmål: Å vite at ikke bare regjeringen, men noen John Doe, kan se på dine private data, vil du noen gang åpne en konto hvor som helst igjen? Folk stoler på teknologi akkurat nå fordi de stoler på det. Eliminere tilliten, og du vil se svært få kunder i bedriftsmarkedet. Ja, forbrukerne kan fortsatt bruke krypterte og tilkoblede teknologier, men bedrifter kommer til å velge bort kjører. Mange av våre favorittprodusenter er avhengige av deres forretningsbaserte kundebaser.
Så ikke bare er denne ideen dårlig for forbrukerne, men også dårlig for bunnlinjen av bedriftene som gir oss de tingene vi elsker. Det er derfor giganter som Apple og Google er så opptatt av disse retningslinjene.
Hva tror du vi burde gjøre? Er en mulig lov på dette enda eksigibelt? Fortell oss i en kommentar!