内容
带走:
爱德华·斯诺登斯(Edward Snowdens)关于政府访问个人数据的启示使人们怀疑“加密”数据的真正安全性。
2013年5月,爱德华·斯诺登(Edward Snowden)开始发布分水岭的文件,这将动摇我们对加密数字通信的认识。现在,安全专家,依赖加密的人员,甚至加密应用程序的创建者自己都感到担心,不可能再次信任加密。什么不值得信任?
这是一个复杂的问题,尤其是因为看起来加密背后的数学仍然很可靠。过去一年来一直受到质疑的是如何实施加密。美国国家标准与测试研究所(NIST)和Microsoft等组织正处于热议席,据称它们危及加密标准并与政府机构勾结。2013年11月,斯诺登发布了文件,指控NIST削弱了其加密算法,从而允许其他政府机构进行监视。在被指控后,NIST采取了步骤来证明自己。 NIST首席网络安全顾问Donna Dodson在此博客中表示:“有关机密文件泄露的新闻报道引起了密码界对NIST密码标准和指南的安全性的关注。NIST也对这些报告深表关注,其中一些报告质疑NIST标准制定过程的完整性。”
NIST理所当然地担心-如果没有世界加密专家的信任,就会动摇互联网的基础。 NIST在2014年4月22日更新了其博客,增加了收到的有关NISTIR 7977:NIST加密标准和准则制定流程的公众意见,这是研究该标准的专家的意见。希望NIST和密码界可以达成一个令人满意的解决方案。
巨型软件提供商Microsoft发生的事情有点模糊。据《雷德蒙德杂志》报道,FBI和NSA都要求微软为公司的驱动器加密程序BitLocker建立后门。文章的作者克里斯·保罗(Chris Paoli)采访了BitLocker团队负责人彼得·比德尔(Peter Biddle),他提到微软被这些机构置于尴尬的位置。但是,他们找到了解决方案。
“虽然Biddle拒绝在后门中建立建筑物,但他的团队与FBI一起教他们如何检索数据,包括针对用户的备份加密密钥,” Paoli解释说。
那么TrueCrypt呢?
灰尘几乎落在了Microsoft的BitLocker周围。然后,在2014年5月,秘密的TrueCrypt开发团队震惊了密码学界,宣布不再提供主要的开源加密软件TrueCrypt。任何访问TrueCrypt网站的尝试都被重定向到此SourceForge.net网页,该网页显示以下警告:甚至在Snowden文档发布之前,这种宣布都会震惊那些依靠TrueCrypt保护其数据的人。加上可疑的加密做法,震惊就变成了严重的焦虑。此外,支持TrueCrypt的开源倡导者现在面临这样一个事实,即TrueCrypt开发人员建议所有人都使用Microsoft专有的BitLocker。
不用说,阴谋理论家对此进行了实地考察。关于决定背后的原因有很多不同的看法。起初,诸如Dan Goodin和Brian Krebs之类的专家认为该网站已被黑客入侵,但经过一番检查后,两者均驳回了这一想法。
符合本讨论的两种流行理论:
- 微软购买了TrueCrypt来消除竞争(BitLocker迁移方向助长了这一理论)。
- 政府的压力迫使TrueCrypt的开发人员关闭该网站(类似于Lavabit发生的情况)。
对代码的不信任一直持续到今天。密码学家正在对TrueCrypt(IsTrueCryptAuditedYet)进行深入的审查,这是不确定性仍然存在的主要例证。
我们可以信任什么?
爱德华·斯诺登(Edward Snowden)和布鲁斯·施耐尔(Bruce Schneier)均表示,加密仍然是防止敏感个人信息和公司信息窥视的最佳解决方案。
斯诺登(Snowden)在接受ACLU主要技术专家Christopher Soghoian和Ben Wizner的SXSW采访时,也对ACLU表示:“最重要的是加密确实有效。我们不必将加密视为一种神秘的,黑暗的艺术,而应将其视为基本保护面向数字世界。”
然后,斯诺登提供了一个个人例子。国家安全局一直在努力找出他泄露了哪些文件,但他们根本不知道,仅仅是因为他们无法解密他的文件。谈到加密,Bruce Schneier也全力以赴。尽管如此,施耐尔还是发出警告来缓和他的支持。
他说:“与开放源软件相比,NSA可以更容易地使用闭源软件。依赖于主秘密的系统通过合法或更秘密的方式容易受到NSA的攻击。”
具有讽刺意味的是,在关闭TrueCrypt之前,在TrueCrypt开发人员开始建议人们使用BitLocker之前,Schneier的评论也被发表了。具有讽刺意味的是:TrueCrypt是开放源代码,而BitLocker是封闭源代码。