NSAは私たちの暗号を壊しましたか?

ガーディアンとニューヨークタイムズの報道によると、NSAはインターネット上で使用されている暗号化の多くを分解していると主張している。英国のカウンターパートであるGCHQと協力して、NSAはさまざまな方法を使用して、外部の読者が会話に読めないデータにアクセスしました。報告書の根拠は、元NSAのアナリスト、エドワード・スノーデンによって漏洩された文書(もちろん)です。

New York TimesとProPublicaはGuardianから5万件を超える文書を受け取りました。 「情報機関関係者は、タイムズに対し、「外国人のターゲットが、収集や読書が難しい新しい暗号化や通信方式に切り替える可能性があるから」と報道した。タイムズは細部を留保することに同意したが、パブリックな議論の価値があるからです。そして、情報当局によって提唱されたとされる推論に共感するのは難しい。

この物語には本当に不愉快なニュースがいくつかありますが、他の部分は特に驚くべきことではありません。これらの報告書は技術論文ではなく、関連する細部については多くの情報が残されているので、多くの場合、正確に何が主張されているかを伝えるのは難しいです。

ストーリーで報告されたNSA暗号化の亀裂の大部分は、彼らの法的地位を特別に利用していません。彼らは暗号を回避するためにターゲットのシステムを破壊しようとしています。暗号に関する攻撃の真実です。一般に、暗号を直接破壊するのではなく、暗号を回避しようとしています。この種の活動は、世界中の悪意のある俳優によって常に行われています。

どうやってやっているの?マルウェア、ソーシャルエンジニアリング、脆弱性を悪用した昔ながらの方法。まさに今日、WebSenseは、企業の巨大な割合のユーザーがJavaとFlashの古い脆弱なバージョンをまだ実行しているというレポートを発表しました。あなたがNSAである必要はありませんが、それらの人々を攻撃するスクリプト児童はそこからそれを取ることができます。

より一般的な暗号やセキュリティを習得する場合は、攻撃を受けていると想定し、それらの攻撃に対する階層化された防御を提供する必要があることを認識しています。 NSAが、法的に許可されている情報ターゲットを妥協するためにブラックハット法を使用している場合、法律について合法的な苦情があるかもしれませんが、ターゲットがシステムを保護するためにさらに行うことができます。

タイムズの一話は、曖昧さのないように聞こえる

政府が外国の諜報機関が新しいコンピュータハードウェアを注文したことを知った後、米国の製造業者は出荷前にバックドアを製品に挿入することに同意した。

あなたは、米国のテクノロジー企業がこのレポートに不満を持っていると賭けることができます。しかし、おそらくそれはすべきです。もし本当であれば、それは完全に真実だとは思わないでしょうが、それはパトリオット法の下で要求されるコンプライアンスの範囲を超えているようです。しかし、この話は、これが注文ではなく会社の “要求”であることを示しています。あまりにも悪い会社は特定されていません。つまり、すべての米国企業がストーリーによってタールされており、海外で売り込む別の課題に直面しています。

別のケースでは、タイムズ・ストーリーは、古いニュースの音がおそらくそれよりも不快にさせる

Microsoftでは、The Guardianが報告したように、N.S.A.同社のクラウドストレージサービスであるSkyDriveとOutlook電子メール、Skypeインターネット通話、チャットなど、Microsoftの最も人気のあるサービスへの事前暗号化アクセスを取得するため、企業関係者と協力しています。

マイクロソフトは政府の「合法的要求」を単に順守しただけだと主張し、場合によっては協調が強制的に強要されたと主張した。秘密の裁判所命令を遵守しない幹部は、罰金または刑務所に遭遇する可能性があります。

このパッセンジャーの言葉は、マイクロソフトがNSAにバックドアを提供して、暗号化によって妨げられることなくこれらのサイトにトラフィックをスニッフィングできるとしている印象を与えていますが、これもわれわれが長い間知っていたものSnowdenの最初の開示の前に:Microsoftおよび他のすべての会社は、特定の個人に属するコンテンツのFISC(Foreign Intelligence Surveillance Court)による注文要求を受け取ることがあり、暗号化されていないデータを政府に提供することによって、

マイクロソフトはごく最近、政府に法的なバックドアアクセスを提供していないと述べています。「法的な政府の要求にのみ対応し、特定のアカウントや識別子に関する要求にのみ準拠しています。

あなたの多くは間違いなく、なぜMicrosoftがこれについて言い聞かせるべきなのか疑問に思っていますが、そうする理由はたくさんあります。同ブログは、FISCでMicrosoftが政府の要請および命令の遵守の範囲に関する情報を開示できるようにするためのMicrosoftの動きを発表するために書かれたもので、Googleによる並行運動が行われた。両方の企業が海外で実質的なビジネスを行い、自社製品の信頼性が危機にさらされていることを認識しています。

庭の種類の亀裂

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

これは、大企業の多国籍企業に対する批判が頻繁に起こっていることです。つまり、自国に忠実でないという批判が個人の利益につながります。マイクロソフトは世界中の顧客に義務を負っています。必要以上に米国政府と協力して、利益のある関係を犠牲にする。

NSAはNIST(National Institute of Standards and Technology)にバックドアを備えた乱数生成アルゴリズムを提出した。それは議会がフラット・アウトで明白に違法とするべき練習である。

実際、この種の脆弱性に関する専門用語があります。クレドグラフィーは、暗号システムに組み込まれた攻撃、つまり暗号バックドアを使用することです。それは素晴らしい言葉です。

アルゴリズム(Dual_EC_DRBGまたは二重楕円曲線決定論的ランダムビット生成器)はNSAアルゴリズムとして知られており、この分野のトップエキスパートであり、NSAは暗号標準化に長年携わっていました。 2007年にバックドアが発見され、マイクロソフトのエンジニアによって報告されました。知っていた人々は、NSAがアルゴリズムにバックドアを挿入しようとしていたことをすぐに推測しました。その結果、NSAの尊重と信頼が明らかに失われました。米国とその市民。素晴らしい職人。

バックドアを通して?

クレドグラフィー

米国政府の行政府にいない人々の間では、より開放的である必要があるという合意が出てきていると思います。スノーデンが成功したことを認めても痛いとしても。

第一のステップは、米国企業がNSAや他の米国政府機関とどのように協力して、顧客が情報に基づいた信頼決定を下すことができるかをより詳細に開示できるようにすることです。これを行わないことは、法的に対抗することが禁止されている不利な立場に米国企業を置くことです。明らかに、(おそらく中国からの)外国の競争相手はもはや本質的に信頼できるものではなく、それはそれについてもっとオープンな理由である。米国の企業に彼らの政策が何であるかを伝え、そして、これが、実際には、同じ政府の圧力の下にあり、その程度を明らかにしていない他の国の競合他社よりも、より信頼できるものになるという点を強調してください。

一番下には、ここでは古典的な市民の自由をトレードオフにする必要があります。私たちの監視政策についてより開放的な方が、効果的ではない場合がありますが、それを維持するためには、可能な限り自由を与える。それはそれを見る正直な方法です。

この混乱から抜け出す

もう一つの大きな話題は、最新のプロトコルやアップデートされたソフトウェアの使用を含め、ベストプラクティスを守れば、犯罪者と米国政府の両方からの攻撃から保護されている可能性が非常に高いことです。有効な令状では、クラウドサービスを通じてお客様に手を差し伸べることができますが、お客様のシステムでは簡単に取得できません。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン