Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Lód w piekarniku czyli zalecenia grupy G7 odnośnie backdoorów kryptograficznych
Jeden z czytelników podesłał nam tę informację. To notatka po spotkaniu przedstawicieli grupy G7, w której mowa jest o walce z terroryzmem. Czytamy tu m.in:
Encourage Internet companies to establish lawful access solutions for their products and services, including data that is encrypted, for law enforcement and competent authorities to access digital evidence, when it is removed or hosted on IT servers located abroad or encrypted, without imposing any particular technology and while ensuring that assistance requested from internet companies is underpinned by the rule law and due process protection. Some G7 countries highlight the importance of not prohibiting, limiting, or weakening encryption;
W innych częściach dokumentu podkreślane jest, że nie zaleca się aby tego typu działania spowodowały w społeczeństwie utratę zaufania do kryptografii. Ciekawe czy chodzi po prostu o kampanie reklamowe typu: „krypto jest bezpieczne”, „krypto jest bezpieczne”, „krypto jest bezpieczne”, „krypto jest bezpieczne”, „krypto jest bezpieczne”. A informacja o backdoorach będzie nieco ukryta? ;-)
Można sobie też zadać pytanie – czy można wierzyć w bezpieczną kryptografię, która ma jednak oficjalnego backdoora? To trochę jak lód w piekarniku.
–ms
Z jednej strony można uznać iż chcą osłabić „wiarę” w siłę kryptografii. Z innej, iż jedynie podtrzymać tę wiarę wiedząc że kryptografia nie jest dla nich już żadną barierą. Dodatkowo zaś po osobach korzystających z niej idzie poznać że mają coś do ukrycia i warto się przy nich „kręcić”. Scenariuszy jak zwykle może być więcej niż jeden a tęgich głów do opracowywania planów nowego niewolnictwa jakoś nie brak ;-)
Zwróciliście uwagę jak wyglądają obecne programy typu ściana przeciwogniowa dla „pospólstwa”? Włącz i zapomnij. Po prawdzie to w większości z nich nie sposób np. skutecznie ustawić blokowania zakresów IP. Jak już user ma na coś wpływ to albo dopuścić aplikację do ruchu po całości albo totalnie ją zablokować (o ile ma taką możliwość zależy od softu).
Co jeśli (nie jest to niczym niespotykanym) aplikacja poza jednym adresem np. celem pobrania aktualizacji sieje danymi do innych IP poza serwerem aktualizacyjnym? Pupa blada.
Przepraszam za być może niewielki OT.
Pozdrowienia.
Tylko open source.
Nie koniecznie muszą robić backdoora w algorytmach. Dajmy na to firma ma usługę zaszyfrowania dysku na hasło. W rzeczywistości dysk może być szyfrowany kluczem znanym dostawcy, a hasło użytkownika które sobie ustawi, będzie jedynie formą autoryzacji.