一些安全专家说,美国国家安全局(National Security Agency)破解加密网络通信的努力是对互联网安全和用户对网络信任的攻击。本周的新闻报道详细介绍了这一行动。
国家安全局和情报机构在盟国已经找到了规避很多在互联网上使用的加密,根据公布的故事纽约时报,ProPublica和守护者。美国国家安全局,英国GCHQ和其他间谍机构已经使用了各种手段击败加密,包括超级计算机,法院的命令,并与技术公司幕后的协议,根据新闻报道。
加密专家和安全专家说,这些报告依赖于美国国家安全局前承包商雇员爱德华·斯诺登(Edward Snowden)提供的文件,显示许多科技公司正在与情报机构合作“破坏隐私”Bruce Schneier。“互联网的基本结构已被摧毁。”
新的启示应该从提高网民对谁,他们可以信任的重大关切,施奈尔增加。“我认为所有的大公司现在正在与NSA同流合污,是不可信任的,是对我们撒谎不断,”他说。“你不能相信任何一家公司,使他们的产品的安全性的任何索赔要求。没有一个云服务提供商,而不是一个软件供应商,而不是一个硬件制造商。”
它不会出现了NSA被蛮力而是通过“欺骗”通过尝试构建后门进入系统和强硬的公司进入给它的信息击败加密,施奈尔说。
数字权利组织民主与技术中心(Center for Democracy and Technology)也表达了施奈尔的一些担忧。CDT的高级技术人员约瑟夫·洛伦佐·霍尔(Joseph Lorenzo Hall)称,美国国家安全局绕过加密的努力是“对互联网运行方式的一次根本性攻击”。
美国国家安全局已经工作了多年打造的后门漏洞进入加密标准和技术产品,故事说。国家安全局的代表并没有对故事回应置评请求。
霍尔批评了这些努力。他在一封电子邮件中表示:“在一个企业和普通消费者都相信用于敏感交易和私人在线通信的安全网络和技术的时代,美国国家安全局在这类关键基础设施上增加漏洞,会带来难以置信的破坏性。”“美国国家安全局的运作似乎是基于一个荒诞的假设,即它在核心互联网技术中嵌入的任何漏洞,只能被它自己及其全球合作伙伴利用。”
本周纽约时报报道,援引从七月监护人报告他说,微软已与美国国家安全局合作,为该机构提供Outlook、Skype和其他产品的预加密访问权限。
微软一再否认帮助美国国家安全局破加密的产品。该公司法定法庭命令对公司客户的信息要求,并且将提供如已订购由法院这样做,未加密的客户信息驻留在其服务器上的机构,一位发言人说。
微软总法律顾问布拉德·史密斯,在7月份的一篇博客文章中,详细描述了微软对法院监视命令的回应方式。
“我们不向任何政府提供直接访问电子邮件或即时消息的权限,”史密斯当时写道。“句号”。
CDT的霍尔为微软的做法进行了辩护。他说:“很明显,微软是在法律上被迫这么做的,否则它不会自愿这么做。”
但马修·格林,在约翰·霍普金斯大学的密码专家和研究教授,建议微软是由于对加密安全性审查,如果加密受到了损害,因为最近的新闻报道暗示。大多数商用加密代码使用少量的图书馆,与微软的CryptoAPI是最常见的中,他在博客中写道。
“虽然微软采用了良好的(和偏执!)人审核他们的算法,它们的生态系统显然是深深的闭源,”格林写道。“你可以查看微软的代码(如果你够签署授权协议),但你永远不会建立它自己。而且他们的市场份额。如果有任何商业供应商正在减弱加密系统,微软可能是最有可能的嫌疑人。”
格林指出,微软IIS在大约20%的互联网服务器和近40%的SSL服务器上运行,而运行在Windows上的第三方加密程序则依赖于微软的api(应用程序编程接口)。
“这使得这些程序在某种程度上依赖于微软的诚实,”他说。
隐私意识的互联网用户的好消息是质疑加密本身的基础已经受到破坏的安全研究人员。有些加密协议是脆弱的,但它很可能是NSA被攻击的加密与或依赖人为错误执行的软件,格林写道。
“软件是一个灾难,”他补充说。“硬件是不是好多了。不幸的是活动的软件利用唯一的工作,如果你心里有一个目标。如果你的目标是群众监督,你需要建立不安全从一开始,这意味着与供应商合作,以添加后门。”
任何妥协是不可能在底层加密是相关的弱点,增加戴夫·安德森,在电压安全的高级总监。
“这很可能是任何可能的方式是,NSA可能绕过加密几乎可以肯定是由于支持使用加密密钥管理流程中的缺陷,而不是通过加密本身,”他说,通过电子邮件。“那么,是不是有可能是NSA可以解密金融和购物账户?一个可能,但前提是这是用来保护敏感数据的加密过故障,不完整或无效的密钥管理流程或简单的人为错误是不正确实施。”
格兰特总占地面积技术和电信政策在美国政府IDG新闻服务。在GrantGross的Twitter上关注格兰特。格兰特的电子邮件地址是grant_gross@idg.com。