Разговоры о бэкдорах в зашифрованных услугах снова проводят раунды после того, как появились сообщения о том, что правительство Великобритании стремится заставить Apple открыть комплексное предложение Icloud зашифрованного (E2EE). Говорят, что чиновники опираются на Apple, чтобы создать «бэкдор» в службе, которая позволит государственным субъектам получить доступ к данным в ясном виде.
У Великобритании были широкие полномочия для ограничения использования сильного шифрования технологических фирм с момента передачи обновления обновления 2016 года в государственные полномочия. Согласно отчетности The Washington Post, официальные лица Великобритании использовали Закон о следовательных полномочиях (IPA) для размещения спроса на Apple- в поисках «общего» доступа к данным, которые его служба Advanced Data Protection (ADP) предназначена для защиты от третьего Вечеринка, включая саму Apple.
Техническая архитектура сервиса Apple ADP была разработана таким образом, что даже технический гигант не держит клавиши шифрования-благодаря использованию сквозного шифрования (E2EE)-позволяя Apple обещать, что у него «ноль знаний» данных его пользователей.
Бэкдор — это термин, обычно развернутый для описания секретной уязвимости, вставленной в код, чтобы обойти или иным образом подрывать меры безопасности, чтобы включить третьи стороны. В случае iCloud порядок позволяет британским разведывательным агентам или правоохранительным органам получить доступ к зашифрованным данным пользователей.
Хотя правительство Великобритании регулярно отказывается подтверждать или опровергать сообщения о уведомлениях, опубликованных в соответствии с IPA, эксперты по безопасности предупредили, что такой секретный порядок может иметь глобальные последствия, если производитель iPhone вынужден ослабить защиту безопасности, которые он предлагает всем пользователям, в том числе на тех, которые расположены За пределами Великобритании.
После того, как существует уязвимость в программном обеспечении, существует риск того, что его можно использовать другими типами агентов, говорят хакеры и другие плохие участники, желающие получить доступ в гнусных целях, таких как кража личных Даже развернуть вымогатели.
Это может объяснить, почему преобладающая формулировка, используемая вокруг попыток, управляемых состоянием, получить доступ к E2EE, является этой визуальной абстракцией заднего хода; прося уязвимость быть намеренно Добавлено в код делает компромиссы простыми.
Чтобы использовать пример: когда дело доходит до физических дверей — в зданиях, стенах или тому подобное — никогда не гарантируется, что только владелец или владелец или владелец собственности будет иметь исключительное использование этой точки входа.
После того, как существует открытие, это создает потенциал для доступа — кто -то может получить копию ключа, например, или даже привести свой путь, сломав дверь.
Суть: нет совершенно селективного дверного проема, который существует, чтобы пропустить только конкретный человек. Если кто -то может войти, с этого момента следует, что кто -то еще может использовать и дверь.
Тот же принцип риска доступа применяется к уязвимостям, добавленным в программное обеспечение (или, действительно, аппаратное обеспечение).
Концепция Nobus («Никто, кроме нас»), в прошлом плакала службами безопасности. Этот конкретный вид задних курсов обычно опирается на оценку их технических возможностей для использования конкретной уязвимости, превосходящей все остальные,-по сути якобы более защищенный бэкдор, который может быть доступен только исключительно их собственными агентами.
Но по самой природе, технологическое мастерство и способность — это подвижный подвиг. Оценка технических возможностей неизвестных других также вряд ли является точной наукой. Концепция «Nobus» находится на уже сомнительных предположениях; Любой сторонний доступ создает риск открытия свежих векторов для атаки, таких как методы социальной инженерии, направленные на нацеливание человека с «уполномоченным» доступом.
Неудивительно, что многие эксперты по безопасности отклоняют Нобуса как принципиально ошибочную идею. Проще говоря, любой доступ создает риск; Следовательно, стремление к бэкдорам противоречит сильной безопасности.
Тем не менее, независимо от этих явных и настоящих проблем безопасности, правительства продолжают настаивать на бэкдорах. Вот почему мы продолжаем говорить о них.
Термин «бэкдор» также подразумевает, что такие запросы могут быть тайными, а не общественными-так же, как бэкдоры не являются публичными точками входа. В случае Apple ICloud запрос на компромисс шифрования, сделанный в соответствии с британским IPA — с помощью «технического уведомления о возможностях» или TCN — не может быть законно раскрыт получателем. Намерение закона состоит в том, что любые такие бэкдоры являются секретными по дизайну. (Протекающие детали TCN в прессу являются одним из механизмов обхода информационного блока, но важно отметить, что Apple еще не прокомментировала эти отчеты.)
Согласно правой группе Фонд Electronic Frontier, термин «Backdoor» восходит к 1980 -м годам, когда Backdoor (и «Trapdoor») использовался для ссылки на секретные учетные записи и/или пароли, созданные для того, чтобы позволить кому -то неизвестному доступу в систему. Но за эти годы слово использовалось для маркировки широкого спектра попыток деградить, обойти или иным образом поставить под угрозу безопасность данных, включенную путем шифрования.
В то время как Backdoors снова в новостях, благодаря Великобритании за то, что Apple зашифровали резервные копии iCloud, важно знать, что требования к доступу к данным датируются десятилетиями.
Например, в 1990 -х годах Агентство по национальной безопасности сша (АНБ) разработало зашифрованное оборудование для обработки голосовых и данных, которые запекали за бэкдором — с целью позволить службам безопасности перехватить зашифрованные коммуникации. «Чип клиппер», как было известно, использовала систему ключевого условного депонирования — что означает, что правительственные учреждения создали и хранили ключ шифрования, чтобы облегчить доступ к зашифрованным данным в случае, в чем хотелось государственные органы власти.
Попытка АНБ прочистить чипсы с запеченными бэкдорами из-за отсутствия усыновления после негативной реакции безопасности и конфиденциальности. Хотя чип Clipper приписывается помощи в усилиях криптологов по разработке и распространению сильного программного обеспечения для шифрования в попытке обеспечить передачу данных против перезагрузки правительства.
Чип Clipper также является хорошим примером того, где была сделана попытка предоставить доступ к систему публично. Стоит отметить, что бэкдоры не всегда должны быть секретными. (В случае между Великобританией, государственные агенты явно хотели получить доступ, чтобы пользователи Apple знали об этом.)
Добавьте к этому, правительства часто развертывают эмоциональную пропаганду вокруг требований доступа к данным в попытке поддержать общественную поддержку и/или оказать давление на поставщиков услуг, чтобы соответствовать, например, утверждая, что доступ к E2EE необходим для борьбы с жестоким обращением с детьми или терроризмом. , или предотвратить какое -то другое отвратительное преступление.
Бэкдоры могут иметь способ вернуться, чтобы укусить своих создателей. Например, поддерживаемые Китаем хакеры стояли за компромиссом федеральных рабочих систем прослушивания прослушиваний прошлой осенью-по-видимому, получая доступ к данным пользователей телекоммуникационных компаний сша и интернет-провайдеров благодаря 30-летнему федеральному закону, который поручил доступ к бэкдору (хотя и В этом случае данные не E2EE), подчеркивая риски преднамеренного выпекания точек доступа к системам в системы.
Правительства также должны беспокоиться о иностранных бэкдорах, создающих риски для своих граждан и национальной безопасности.
На протяжении многих лет было подозревалось несколько случаев, когда китайское оборудование и программное обеспечение были подозреваны в том, что они укрывают бэкдоры. Опасения по поводу потенциальных рисков задних курсов заставили некоторые страны, в том числе Великобритания, предпринять шаги по удалению или ограничению использования китайских технологических продуктов, таких как компоненты, используемые в критических телекоммуникационных инфраструктуре, в последние годы. Страх за бэкдоры также также могут быть мощным мотиватором.
