Kryptographische Backdoors erklärt
Kryptographie ist bei weitem eines der wichtigsten Themen im Informationszeitalter. Jedes Mal, wenn Sie sich anmelden, gibt es einen Algorithmus, der Ihr Passwort auf einen Hashwert überprüft, der bestimmt, ob Sie sich bei Ihrem Konto authentifizieren können oder nicht. So halten wir Hacker in Schach. Was passiert also, wenn der Algorithmus, der Sie schützen soll, über eine Hintertür verfügt, die es bestimmten Personen ermöglicht, uneingeschränkten Zugriff auf Ihre Konten und persönlichen Aufzeichnungen zu haben?
Am 19. Mai 2015 drängten Apple und Google US-Präsident Barack Obama, private Technologieunternehmen zu zwingen, Hintertüren in ihre kryptografischen Algorithmen aufzunehmen. Ich möchte erklären, wie sich dies auf uns als Konsumenten von Technologie und auf die Ergebnisse der Unternehmen auswirkt, die uns diese Technologie zur Verfügung stellen.
Ein wenig Geschichte: Dual_EC_DRBG
Sie könnten vergeben werden, wenn der Begriff "Dual_EC_DRBG" für Sie wie ein arkanisches Kauderwelsch klingt, aber es ist vielleicht ein Begriff, der mit einem der größten Skandale in der Geschichte der Verschlüsselungstechnologie verbunden ist. Unsere Geschichte beginnt in den frühen 2000er Jahren, als die Elliptische-Kurven-Kryptographie in Computersystemen Einzug zu halten begann. Bis dahin war das Erzeugen einer Zufallszahl wegen ihrer inhärenten Vorhersagbarkeit ein Schmerz. Sie sehen, Menschen können sehr effizient Zufallszahlen generieren, da wir alle anders denken. Kannst du sagen, welche Zahl zwischen 1 und 100.000 ich gerade denke? Sie haben eine Chance von 1: 100.000, die richtige Antwort zu erhalten, wenn Sie nur zufällig raten. Das ist bei Computern nicht dasselbe. Sie sind absolut entsetzlich, da sie normalerweise auf andere feste Werte angewiesen sind, um zu ihren "Schlussfolgerungen" zu kommen. Da sie nicht "denken" können, müssen wir den Prozess für sie synthetisieren. Elliptische-Kurven-Kryptographie macht den Prozess der Generierung einer Zufallszahl viel weniger vorhersehbar als herkömmliche Methoden.
Zurück zur Geschichte. Die National Security Agency (NSA) hat ein Modul mit dem Namen Dual_EC_DBRG als Möglichkeit zur Generierung dieser Nummern eingeführt. Es wurde nicht bestanden.
Es endet jedoch nicht dort. Im Jahr 2004 schloss die NSA einen 10-Millionen-Dollar-Deal mit den Machern des RSA-Kryptosystems (den Leuten, die zu dieser Zeit den größten Marktanteil in der Kryptographie hatten), um ihr Haustier-Modul zum Standard für RSA zu machen. Wir wissen nicht, ob die NSA die Hintertür enthielt, aber Dual_EC_DRBG hatte sicherlich eine. Die Tatsache, dass die NSA so hartnäckig darauf bestand, dieses Modul in die RSA-Kryptographie aufzunehmen, hilft nicht bei der Vorabentscheidung.
Im Jahr 2015 haben sich die US-Regierung und andere Regierungen auf der ganzen Welt dazu entschlossen, private Unternehmen aufzufordern, Backdoors zu ihren Verschlüsselungsalgorithmen hinzuzufügen.
Warum Backdoors schlecht für alle anderen sind
Sie haben vielleicht schon eine Vorstellung davon, warum Backdoors schlecht sind. Es ist ein Kinderspiel, oder? Die Sache ist, dass es andere unsichtbare Konsequenzen für die Einführung von Hintertüren zur Verschlüsselung gibt, abgesehen von der Verletzung der Privatsphäre durch Regierungsbehörden.
Zuallererst, wenn ein Hacker die Hintertür entdeckt (genau wie das oben erwähnte Fiasko Dual_EC_DBRG), können Sie nur garantieren, dass jeder es ausnutzen kann, um einen Blick auf Dinge zu werfen, die Ihnen sehr privat sind.
Der zweite Grund, warum Hintertüren fürchterlich sind, kann am besten in der Form einer Frage ausgedrückt werden: Wissend, dass nicht nur die Regierung, sondern irgendein John Doe Ihre privaten Daten einsehen kann, würden Sie jemals irgendwo ein Konto eröffnen? Menschen verlassen sich gerade auf Technologie, weil sie ihr vertrauen. Beseitigen Sie das Vertrauen und Sie werden nur sehr wenige Kunden auf dem Unternehmensmarkt sehen. Ja, die Verbraucher können zwar immer noch verschlüsselte und vernetzte Technologien verwenden, aber die Unternehmen werden sich in Scharen abfinden. Viele unserer Lieblingshersteller verlassen sich stark auf ihre Business-to-Business-Kunden.
Also ist diese Idee nicht nur schlecht für die Verbraucher, sondern auch schlecht für das Endergebnis der Unternehmen, die uns mit den Dingen versorgen, die wir lieben. Deshalb sind Giganten wie Apple und Google so besorgt über diese Politik.
Was denkst du, was wir tun sollten? Ist ein mögliches Gesetz dazu sogar durchsetzbar? Erzähle uns in einem Kommentar!