Криптовойны

Попытки, неофициально получившие название « Криптовойны », были предприняты Соединенными Штатами (США) и правительствами стран-союзниц с целью ограничить доступ общественности и иностранных государств к криптографии, достаточно сильный, чтобы помешать расшифровке национальными спецслужбами, особенно Агентством национальной безопасности . АНБ). ^[3]

В первые дни холодной войны США и их союзники разработали тщательно продуманную серию правил экспортного контроля, призванных предотвратить попадание широкого спектра западных технологий в руки других стран, особенно Восточного блока . Весь экспорт технологий, отнесенных к категории «критических», требует лицензии. CoCom был организован для координации западного экспортного контроля.

Охранялись два типа технологий: технологии, связанные только с военным оружием («боеприпасами»), и технологии двойного назначения, которые также имели коммерческое применение. В США экспорт технологий двойного назначения контролировался Министерством торговли , а боеприпасы контролировались Государственным департаментом . Поскольку сразу после Второй мировой войны рынок криптографии был почти полностью военным, технология шифрования (методы, а также оборудование, а после того, как компьютеры приобрели важное значение, криптографическое программное обеспечение) была включена в список категории XIII в Список боеприпасов США . Многонациональный контроль над экспортом криптографии на западной стороне «холодной войны» осуществлялся с помощью механизмов CoCom.

Однако к 1960-м годам финансовые организации начали требовать надежного коммерческого шифрования в быстро развивающейся области проводных денежных переводов. Введение правительством США стандарта шифрования данных в 1975 году означало, что коммерческое использование высококачественного шифрования станет обычным явлением, и начали возникать серьезные проблемы экспортного контроля. Как правило, эти проблемы решались посредством индивидуальных процедур запроса экспортной лицензии, возбужденных производителями компьютеров, такими как IBM , и их крупными корпоративными клиентами.

Контроль за экспортом шифрования стал предметом общественного беспокойства с появлением персонального компьютера . Фила Циммермана и PGP Криптосистема ее распространение в Интернете в 1991 году стала первым серьезным вызовом на «индивидуальном уровне» контролю над экспортом криптографии. Рост электронной торговли в 1990-х годах создал дополнительное давление в пользу снижения ограничений. ^[4] Вскоре после этого Netscape технология SSL получила широкое распространение как метод защиты транзакций по кредитным картам с использованием криптографии с открытым ключом .

Сообщения, зашифрованные с помощью SSL, использовали шифр RC4 и 128-битные ключи . Правила экспорта правительства США не разрешают экспортировать криптосистемы, использующие 128-битные ключи. ^[5] На этом этапе западные правительства на практике имели раздвоение личности, когда дело касалось шифрования; Эта политика была разработана военными криптоаналитиками, которые были озабочены исключительно предотвращением получения секретов их «врагами», но затем эта политика была передана коммерции чиновниками, чья работа заключалась в поддержке промышленности.

Самый длинный размер ключа , разрешенный для экспорта без отдельных процедур лицензирования, составлял 40 бит , поэтому Netscape разработала две версии своего веб-браузера . «Издание для США» имело полную 128-битную силу. В «Международном издании» эффективная длина ключа была уменьшена до 40 бит за счет раскрытия 88 бит ключа в протоколе SSL . Приобретение «внутренней» версии для США оказалось настолько хлопотным, что большинство пользователей компьютеров, даже в США, в конечном итоге остановились на «международной» версии. ^[6] чье слабое 40-битное шифрование можно взломать за считанные дни с помощью одного персонального компьютера. Аналогичная ситуация произошла с Lotus Notes по тем же причинам. ^[7]

Юридические проблемы со стороны Питера Юнгера и других борцов за гражданские права и защитников конфиденциальности, широкая доступность программного обеспечения для шифрования за пределами США, а также восприятие многими компаниями того, что негативная реклама о слабом шифровании ограничивает их продажи и рост электронной коммерции, привели к серия послаблений в экспортном контроле в США, кульминацией которых стало президентом Биллом Клинтоном подписание в 1996 году Указа 13026. ^[2] перенос коммерческого шифрования из Списка боеприпасов в Список контроля торговли . Кроме того, в приказе говорилось, что «программное обеспечение не должно рассматриваться или рассматриваться как «технология»» в смысле Положений об экспортном контроле . Этот приказ позволил Министерству торговли США ввести правила, которые значительно упростили экспорт проприетарного программного обеспечения и программного обеспечения с открытым исходным кодом , содержащего криптографию, что они и сделали в 2000 году. ^[8]

По состоянию на 2009 год экспорт невоенной криптографии из США контролируется Бюро промышленности и безопасности Министерства торговли . ^[9] Некоторые ограничения все еще существуют, даже для товаров массового спроса, особенно в отношении экспорта в « страны-изгои » и террористические организации. Военное шифровальное оборудование, электроника, одобренная TEMPEST , специальное криптографическое программное обеспечение и даже консультационные услуги по криптографии по-прежнему требуют экспортной лицензии. ^[9] (стр. 6–7). Кроме того, регистрация шифрования в BIS требуется для экспорта «товаров, программного обеспечения и компонентов шифрования массового рынка с шифрованием, превышающим 64 бита» (75 FR 36494 ). Кроме того, другие товары требуют однократной проверки или уведомления BIS перед экспортом в большинство стран. ^[9] Например, перед тем, как криптографическое программное обеспечение с открытым исходным кодом станет общедоступным в Интернете, необходимо уведомить BIS, хотя никакой проверки не требуется. ^[10] Экспортные правила были смягчены по сравнению со стандартами, существовавшими до 1996 года, но они по-прежнему остаются сложными. ^[9] Другие страны, особенно страны-участницы Вассенаарских договоренностей , ^[11] имеют аналогичные ограничения. ^[12]

До 1996 года правительство Соединенного Королевства не давало экспортерам экспортных лицензий, если только они не использовали слабые шифры или короткие ключи, и в целом не поощряло практическую публичную криптографию. ^[13] Дебаты о криптографии в Национальной службе здравоохранения выявили это открыто. ^[13]

Чип Clipper представлял собой набор микросхем для мобильных телефонов, созданный АНБ в 1990-х годах и реализовавший шифрование с бэкдором для правительства США. ^[4] Правительство США пыталось убедить производителей телефонов принять этот чипсет, но безуспешно, и к 1996 году программа была окончательно закрыта.

A5/1 — это поточный шифр беспроводной связи , используемый для обеспечения конфиденциальности в GSM стандарте сотовых телефонов .

Исследователь безопасности Росс Андерсон возник ужасный спор НАТО между службами радиоразведки сообщил в 1994 году, что « в середине 1980-х годов по поводу того, должно ли шифрование GSM быть надежным или нет. Варшавский договор ; но другие страны так не считали, и используемый сейчас алгоритм является французской разработкой». ^[14]

По словам профессора Яна Арильда Одестада, в процессе стандартизации, начавшемся в 1982 году, изначально предполагалось, что A5/1 будет иметь длину ключа 128 бит. В то время предполагалось, что 128-битная технология будет безопасной как минимум 15 лет. По оценкам, по состоянию на 2014 год 128 бит на самом деле все еще будут безопасными. Одестад, Питер ван дер Аренд и Томас Хауг говорят, что британцы настаивали на более слабом шифровании, а Хауг говорит, что британский делегат сказал ему, что это было чтобы британской секретной службе было легче подслушивать. Британцы предложили длину ключа в 48 бит, в то время как западные немцы хотели более сильное шифрование для защиты от шпионажа Восточной Германии, поэтому компромиссом стала длина ключа в 56 бит. ^[15] В общем случае ключ длиной 56 ${\displaystyle 2^{128-56}=2^{72}=4.7\times 10^{21}}$ раз легче сломать, чем ключ длиной 128.

Первоначально IBM планировала , что широко используемый алгоритм шифрования DES будет иметь размер ключа 128 бит; ^[16] АНБ лоббировало размер ключа в 48 бит. Конечным компромиссом был размер ключа в 64 бита, 8 из которых были битами четности, чтобы сделать эффективный ключевой параметр безопасности равным 56 битам. ^[17] DES считался небезопасным еще в 1977 году. ^[18] а документы, просочившиеся в результате утечки Сноудена в 2013 году , показывают, что на самом деле АНБ легко взломало его, но НИСТ по-прежнему рекомендовал его . ^[19] DES Challenges представляли собой серию соревнований по атакам методом перебора, созданных RSA Security, чтобы подчеркнуть отсутствие безопасности, обеспечиваемой стандартом шифрования данных . В рамках успешного взлома сообщений, закодированных в DES, EFF создал специализированный компьютер для взлома DES под названием Deep Crack .

Успешный взлом DES, вероятно, помог собрать как политическую, так и техническую поддержку для более совершенного шифрования в руках простых граждан. ^[20] В 1997 году NIST начал конкурс по выбору замены DES , в результате которого в 2000 году был опубликован Advanced Encryption Standard (AES). ^[21] По состоянию на 2019 год AES по-прежнему считается безопасным, и АНБ считает AES достаточно надежным, чтобы защитить информацию, засекреченную на уровне совершенно секретно. ^[22]

Опасаясь широкого распространения шифрования, АНБ намеревалось тайно повлиять на стандарты шифрования и ослабить их, а также получить главные ключи — либо по соглашению, в силу закона, либо путем эксплуатации компьютерных сетей ( взлома ). ^{[4] [23]}

По данным газеты «Нью-Йорк Таймс» : «Но к 2006 году, как отмечается в документе АНБ, агентство взломало связь трех иностранных авиакомпаний, одной системы бронирования билетов, ядерного департамента одного иностранного правительства и интернет-службы другого, взломав виртуальные частные сети, которые защищали К 2010 году программа Edgehill, британская программа по борьбе с шифрованием, расшифровывала VPN-трафик для 30 целей и поставила перед собой задачу создать еще 300». ^[23]

В рамках Bullrun АНБ также активно работает над «внесением уязвимостей в коммерческие системы шифрования, ИТ-системы, сети и конечные коммуникационные устройства, используемые целями». ^[24] The New York Times сообщила, что генератор случайных чисел Dual EC DRBG содержит лазейку от АНБ, которая позволит АНБ взламывать шифрование, используя этот генератор случайных чисел. ^[25] Несмотря на то, что Dual_EC_DRBG был известен как небезопасный и медленный генератор случайных чисел вскоре после публикации стандарта, а потенциальный бэкдор АНБ был обнаружен в 2007 году, а альтернативные генераторы случайных чисел без этих недостатков были сертифицированы и широко доступны, RSA Security продолжала использовать Dual_EC_DRBG. компании в наборе инструментов BSAFE и Data Protection Manager до сентября 2013 года. Хотя RSA Security отрицает намеренное внедрение бэкдора в BSAFE, она еще не дала объяснения продолжающемуся использованию Dual_EC_DRBG после того, как его недостатки стали очевидны в 2006 и 2007 годах. ^[26] однако 20 декабря 2013 года сообщалось, что RSA приняло платеж в размере 10 миллионов долларов от АНБ за установку генератора случайных чисел по умолчанию. ^{[27] [28]} В просочившихся документах АНБ говорится, что их усилия были «проблемой мастерства» и что «в конце концов АНБ стало единственным редактором» стандарта.

К 2010 году АНБ разработало «революционные возможности» против зашифрованного интернет-трафика. Однако документ GCHQ предупреждает: «Эти возможности являются одними из самых хрупких в сообществе Sigint, и непреднамеренное раскрытие простого «факта» может предупредить противника и привести к немедленной потере возможностей». ^[23] В другом внутреннем документе говорилось, что «не будет необходимости знать ». ^[23] Несколько экспертов, в том числе Брюс Шнайер и Кристофер Согоян , предположили, что успешная атака на RC4 , алгоритм шифрования 1987 года, который до сих пор используется как минимум в 50 процентах всего трафика SSL/TLS, является вероятным путем, учитывая несколько общеизвестных недостатков RC4. ^[29] Другие предполагают, что АНБ получило возможность взламывать 1024-битные открытые ключи RSA и Диффи-Хеллмана . ^[30] Группа исследователей отметила, что в реализациях Диффи-Хеллмана широко используются несколько неэфемерных 1024-битных простых чисел, и что АНБ, выполнившее предварительные вычисления на основе этих простых чисел, чтобы взломать шифрование с их использованием в реальном времени, вполне вероятно, что это то, что Речь идет о «новаторских возможностях» АНБ. ^[31]

Программа Bullrun вызывает споры, поскольку считается, что АНБ намеренно внедряет или сохраняет в секрете уязвимости, которые затрагивают как законопослушных граждан США, так и цели АНБ, в рамках своей NOBUS . политики ^[32] Теоретически у АНБ две задачи: предотвращать уязвимости, затрагивающие США, и находить уязвимости, которые можно использовать против целей США; но, как утверждает Брюс Шнайер, АНБ, похоже, отдает приоритет поиску (или даже созданию) и сохранению уязвимостей в секрете. Брюс Шнайер призвал расформировать АНБ, чтобы группа, занимающаяся усилением криптографии, не подчинялась группам, которые хотят взломать криптографию своих целей. ^[33]

В рамках утечек Сноудена стало широко известно, что спецслужбы могут обходить шифрование данных, хранящихся на смартфонах Android и iOS , юридически предписывая Google и Apple обходить шифрование на конкретных телефонах. Примерно в 2014 году в качестве реакции на это Google и Apple изменили свое шифрование, так что у них не было технической возможности его обойти, и его можно было разблокировать, только зная пароль пользователя. ^{[34] [35]}

Различные представители правоохранительных органов, в том числе администрации Обамы генеральный прокурор Эрик Холдер. ^[36] ответил резким осуждением, назвав недопустимым то, что государство не может получить доступ к данным предполагаемых преступников даже при наличии ордера. В одном из наиболее знаковых ответов шеф детективов полицейского управления Чикаго заявил, что «Apple станет любимым телефоном для педофилов». ^[37] Washington Post опубликовала редакционную статью, в которой настаивала на том, что «пользователи смартфонов должны признать, что они не могут быть выше закона, если есть действующий ордер на обыск», и, согласившись с тем, что бэкдоры нежелательны, предложила внедрить бэкдор «золотого ключа», который разблокирует данные. с ордером. ^{[38] [39]}

Директор ФБР Джеймс Коми привел ряд случаев, подтверждающих необходимость расшифровки смартфонов. Интересно, что ни в одном из предположительно тщательно отобранных дел смартфон не имел ничего общего с идентификацией или поимкой преступников, и ФБР, похоже, не смогло найти ни одного убедительного доказательства необходимости расшифровки смартфона. ^[40]

Брюс Шнайер назвал право на дебаты о шифровании смартфонов «Криптовойной II» . ^[41] в то время как Кори Доктороу назвал это Redux Crypto Wars . ^[42]

Законодатели в штатах США Калифорния ^[43] и Нью-Йорк ^[44] предложили законопроекты, запрещающие продажу смартфонов с невзламываемым шифрованием. По состоянию на февраль 2016 года ни один законопроект не был принят.

В феврале 2016 года ФБР получило постановление суда, требующее от Apple создать и подписать электронным способом новое программное обеспечение, которое позволит ФБР разблокировать iPhone 5c, который он забрал у одного из стрелков во время террористической атаки 2015 года в Сан-Бернардино, Калифорния . Apple оспорила этот приказ. В конце концов ФБР наняло третье лицо, чтобы взломать телефон. См. Спор ФБР и Apple о шифровании .

В апреле 2016 года Дайан Файнштейн и Ричард Берр выступили спонсорами законопроекта, который некоторые назвали «слишком расплывчатым». ^[45] это, вероятно, приведет к криминализации всех форм надежного шифрования . ^{[46] [47]}

В декабре 2019 года Комитет Сената США по судебной власти созвал слушания по шифрованию и законному доступу, сосредоточив внимание на зашифрованном хранилище смартфонов. ^[48] Окружной прокурор Сайрус Вэнс-младший , профессор Мэтт Тейт, Эрик Нойеншвандер из Apple и Джей Салливан из Facebook дали показания. Председатель Линдси Грэм заявил в своем вступительном слове: «Всем нам нужны устройства, которые защищают нашу конфиденциальность». Он также сказал, что правоохранительные органы должны иметь возможность читать зашифрованные данные на устройствах, пригрозив, что в случае необходимости они примут закон: «Вы найдете способ сделать это, или мы сделаем это за вас». ^[49]

В октябре 2017 года заместитель генерального прокурора Род Розенштейн призвал к хранению ключей под эвфемизмом «ответственное шифрование». ^[50] как решение существующей проблемы «темноты». ^[51] Речь идет о том, что судебные постановления о прослушивании телефонных разговоров и меры полиции становятся неэффективными, поскольку надежное сквозное шифрование в широко распространенные мессенджеры все чаще добавляется . Розенштейн предположил, что условное депонирование ключей предоставит клиентам возможность восстановить зашифрованные данные, если они забудут свой пароль, чтобы он не был утерян навсегда. С точки зрения правоохранительных органов это позволило бы судье выдать ордер на обыск, поручив компании расшифровать данные; без условного депонирования или другого нарушения шифрования поставщик услуг не сможет выполнить этот запрос. В отличие от предыдущих предложений, децентрализованное хранение ключей компаниями, а не государственными учреждениями, считается дополнительной защитой.

В 2015 году глава АНБ адмирал Майкл С. Роджерс предложил дальнейшую децентрализацию хранения ключей, введя в шифрование «парадные двери» вместо «черных дверей». ^[52] Таким образом, ключ будет разделен на две половины: одна будет храниться у государственных органов, а другая — у компании, ответственной за продукт шифрования. Таким образом, правительству по-прежнему понадобится ордер на обыск, чтобы получить половину ключа компании, в то время как компания не сможет злоупотреблять депонированием ключа для доступа к данным пользователей без половины ключа правительства. Экспертов это не впечатлило. ^{[53] [52]}

В 2018 году АНБ продвигало использование «облегченного шифрования», в частности его шифров Simon и Speck , для Интернета вещей . устройств ^[54] Однако попытка стандартизировать эти шифры в ISO провалилась из-за резкой критики со стороны совета экспертов по криптографии, которая вызвала опасения, что АНБ обладает закрытыми знаниями о том, как их взломать. ^[55]

После в Charlie Hebdo теракта в 2015 году бывший премьер-министр Великобритании Дэвид Кэмерон призвал объявить вне закона криптографию без бэкдора, заявив, что не должно быть «средств связи», которые «мы не можем прочитать». ^{[56] [57]} Президент США Барак Обама в этом вопросе поддержал Кэмерона. ^[58] Этот призыв к действию, похоже, не привел к тому, чтобы какое-либо законодательство или изменения в статус-кво криптографии без бэкдора стали законными и доступными.

Закон о ликвидации злоупотреблений и безудержного пренебрежения интерактивными технологиями ( EARN IT ) 2020 года предусматривает создание Национальной комиссии в составе 19 членов, которая разработает набор руководящих принципов «передовой практики», которым поставщики технологий должны будут следовать, чтобы «заслужить» иммунитет. (традиционно предусмотренная «автоматически» разделом 230 Закона о порядочности в сфере коммуникаций ) к ответственности за материалы о сексуальном насилии над детьми на их платформах. Сторонники представляют его как способ борьбы с материалами о сексуальном насилии над детьми на интернет-платформах, но он подвергся критике со стороны сторонников шифрования, поскольку вполне вероятно, что «лучшие практики», разработанные комиссией, будут включать отказ от использования сквозного шифрования. , поскольку такое шифрование сделает невозможным проверку незаконного контента. ^{[59] [60]}

• Ограничения на импорт криптографии
• Закон о коммуникационной помощи правоохранительным органам
• Права человека и шифрование
• 40-битное шифрование