Video: Nokios 2019 - Sesjon 4B: Offentlig PaaS (Oktober 2024)
Da USAs voksende bekymring for terrorisme løper mot den inngrepte mistilliten til autoritet, har resultatet vært en overraskende robust debatt om kryptering og digitale rettigheter.
Ulike lovhåndteringsbyråer har bestemt seg for hvor sterk kryptering gjør at nettet "blir mørkt", dvs. at det lindrer deres evne til å lese Matrix ubundet på jakt etter skurkene og deres skumle intensjoner. (I dette tilfellet kan "å gå mørkt" overlappe hverandre med - men bør ikke betraktes som synonymt med - "The Dark Web", som refererer til den tidvis snuskede underbuken som bor i Tor-nettverket).
Samtidig som myndighetene søker å styrke sine digitale overvåkningsstyrker, presser for personvern for mer standardkryptering for å beskytte borgerrettighetene til brukere som ofte er mer enn villige til å utveksle personvern av bekvemmelighets skyld.
For å oppnå dette har lovgivere på alle nivåer foreslått regninger som vil begrense (eller i noen tilfeller direkte forbud) publikums tilgang til ting som krypterte iPhones, mens andre har foreslått lovgivning som vil øke den. (Og vi må merke oss at den politiske tusselen om kryptering har vært forfriskende ubegrenset av dagens forankrede partisanskiller. Det er republikanere og demokrater på begge sider av saken - det vil sannsynligvis ikke vare, men denne ikke-stammepolitiske debatten er en fin endring av tempo.)
På mange måter er krypteringsdebatten veldig spesiell til akkurat dette øyeblikket i teknologisk historie. Hvis ting virkelig skulle "bli mørkt" i stor skala, ville det i all hovedsak ta myndighetene tilbake til en forhåndsinternettid da det var vanskeligere å snuse eksternt. I mellomtiden blir beskyttelsen som tilbys av krypterte telefoner raskt teknologisk sjarmerende etter hvert som etterretningsbyråer skifter oppmerksomhet fra å tappe smarttelefoner til å tappe smarte hjem. Ja, smart-tv-en din lurer kanskje på deg (som langt fra er paranoid fantasi).
Vi snakket med flere digitale personverneksperter for et tankeeksperiment om hvordan Internett ville sett ut hvis sterk, allestedsnærværende kryptering var regelen i stedet for unntaket (og om det til og med ville vært mulig).
Hvis alle enheter og kommunikasjoner var kryptert som standard, ville brukerne gjenkjenne en forskjell i sluttopplevelsen?
Amie Stepanovich, USAs politisjef, tilgang nå : Det finnes forskjellige typer kryptering. Det er transkryptering og kryptering i lagring. Når du snakker om transkryptering, er det hva du får når du ser HTTPS: i begynnelsen av en URL. Mange selskaper har vært treg med å overføre til det fordi det var et argument om at det gikk tregere eller at det brøt ting. I det minste har argumentet om at det går tregere falt langs veien.
I 2011 var det en stor hacking av Gmail av Kina. Den gangen brukte ikke Gmail kryptering. De sa at det var fordi det ville gjøre ting tregere. Og så etter at Kina-hacket var, var de som 'Å, kanskje vi burde sette det på plass.' Og det har virkelig ikke påvirket brukeropplevelsen i det hele tatt. Folk ante i utgangspunktet ingen anelse om at endringen hadde skjedd bortsett fra at de var mye sikrere i den andre enden.
Når det gjelder mer robuste former for kryptering, er det noen flere kostnadsfordeler du bør vurdere. For eksempel er ikke alltid kryptering fra ende til ende søkbar, og den er ikke tilgjengelig på enheter der du ikke har installert en nøkkel. Så du kan for eksempel ikke sjekke e-post på tvers av enheter. Det avhenger av implementeringen og hvilket sikkerhetsnivå du leter etter. Det meste av tiden kommer du ikke en gang til å kjenne deg igjen i.
Garanterer kryptering at alle dataene dine forblir private?
AS: er ikke nødvendigvis slutten på historien… hvis du lagrer noe i Apples sky, vil Apple ha tilgang til det. Selv om alle hadde en standardkryptert iPhone, beskytter den ikke dataene dine når du synkroniserer informasjonen din til skyen.
Tommelfingerregel er hvis du har informasjon på en enhet og du slipper den enheten i en sølepytt og den dør, men du fortsatt kan få tilgang til dataene dine, dataene dine er ikke helt sikre.
Mange mennesker synkroniserer på grunn av bekvemmelighet fordi de ønsker å kunne få tilgang til dataene sine på tvers av enheter. Ideen om at vi er på vei mot allestedsnærværende kryptering og at alle kommer til å gå mørkt er ganske ubehagelig fordi folk har en grunn til ikke å bruke den sterkeste sikkerheten - brukere vil kanskje at Apple skal lagre informasjonen på skyen sin fordi de ønsker å sikkerhetskopiere den og har tilgang til den fra mange steder, men de burde bare vite at Apple da vil ha tilgang til den informasjonen.
Negerer kryptering intelligensinnsamlingsfunksjonene som Edward Snowden avslørte, slik som PRISM, som lar NSA søke noens e-post ved å bare slå opp navnet sitt?
Peter Eckersley, sjef dataforsker, Electronic Frontier Foundation : Dessverre er vi ikke i nærheten av å ha noen form for kryptering som vil beskytte innholdet i e-posten din mot et PRISM-aktig angrep. Vi må bygge disse tingene, men den sterke krypteringen som diskuteres akkurat nå, gjør ikke det. Vi kommer kanskje dit med tekstmeldinger, men har ikke en måte å gjøre en-til-ende-e-postkryptering ennå. Ikke praktisk.
Tjenester som Silent Circle eller Whisper tilbyr en-til-ende-kryptering, men er ennå ikke en praktisk erstatning for e-post. Det er en teknologi som heter PGP som har eksistert i en stund, men den er ennå ikke praktisk for e-post for de fleste.
Det er noen store tekniske forskjeller mellom e-post og tekstmeldinger som gjør e-post mye vanskeligere: Folk forventer å ha alle sine gamle e-poster; de forventer å kunne søke i alle de gamle e-postene sine veldig raskt fra en telefon, selv om de har 10 GB-meldinger som de ikke kunne lagre lokalt på enheten. Dagens e-postplattformer har veldig sofistikert spamfiltrering og prioriteringsfunksjoner som er innebygd i disse e-postplattformene. Å kopiere all den funksjonaliteten i et kryptert system fra en til ende er et uløst problem.
Er det i superdatamaskinens tid til og med noe som ikke kan knuses kryptering?
AS: Det er brute force-angrep som vil ta år - opptil hundrevis av millioner av år - for å få tilgang til kryptert informasjon. Det er den vanskeligste måten å få tilgang. I mange tilfeller vil det være umulig. Det er grunnen til at når folk ønsker å få tilgang til informasjon - det være seg hackere eller myndigheter - de gjør det på en annen måte.
De kan oppfordre til bruk av en sårbarhet de kan ødelegge. Eller de kan installere et stykke malware som gir dem tilgang til enheten din - enten du bruker standardkryptering ikke spiller noen rolle, fordi de er på enheten din og de kan se den ukrypterte informasjonen.
Det var det som skjedde i Kasakhstan. Regjeringen der krevde at innbyggerne skulle installere et sikkerhetsproblem på myndighetene på enhetene. Så det ville ikke ha noe å si hvor mye kryptering du bruker eller hvordan du bruker det - de har eid enhetene. Alle datamaskiner og telefoner har dette programmet på som antagelig lar kryptert informasjon dekrypteres.
Er det alltid skapt sårbarheter og bakdører med kunnskap fra produsenter?
AS: De kan settes inn med eller uten produsentens kunnskap… I ett eksempel vet vi at NSA og GCHQ fikk tilgang til SIM-kortnøkler. I så fall har vi ingen grunn til å tro at produsenten visste at SIM-kortnøklene hadde blitt kompromittert, men de ble kompromittert i det samme. Så det er mange forskjellige måter.
Å lage en bakdør er faktisk mye vanskeligere med open source-programvare, og det er derfor mange teknologer tar til orde for det.
Kunne en regjering til og med fullstendig forby kryptering hvis den virkelig ville? Det virker som om noen bare kunne konstruere rundt det.
PE: Hvis FBI ønsker å lage nye bakdører i systemer, vil det ikke påvirke programmerere som lager sin egen programvare. Myndighetene kan imidlertid være i stand til å begrense de typer tjenester som store selskaper kan tilby den amerikanske offentligheten.
Du kan installere sterk kryptoprogramvare selv, men myndighetene kan være i stand til å begrense Apple eller Googles mulighet til å gi deg det i et praktisk produkt som holder deg eller ditt selskap trygt.
Ville standardkryptering virkelig stimulere myndighetenes evner til å kontrollere ting?
PE: Sterk kryptering som standard ville være en stor gevinst. Et eksempel på ting som skjer når du har en sterk kryptert versjon av Wikipedia, er at regjeringer ikke kan sensurere bestemte Wikipedia-artikler. Vi har sett mange regjeringer over hele verden som ønsker å tillate Wikipedia, men ønsker å blokkere bestemte artikler de virkelig ikke liker. Å ha sterk kryptering betyr at en forbindelse til Wikipedia ikke lett kan skilles fra noen annen forbindelse, så regjeringen må la folk lese fritt.
Vi har kjempet for å øke bruken av transittkryptering i flere tiår. Og vi gjorde enorme fremskritt. Men vi vet at når du først har denne krypteringen, er det dessverre mange ting som kan gå galt hvis du blir angrepet av en hacker eller et etterretningsbyrå. Disse inkluderer malware som kommer videre til datamaskinen din eller brudd på dataene på serversiden av ting. Så du har en sikker kryptert forbindelse til et nettsted, men så databasen som nettstedet har blitt hacket hver for seg, da er alle dataene du legger inn der sårbare.
Det er en teknikk som kalles "trafikkanalyse", i stedet for å lese innholdet i kommunikasjonene datamaskinen sender, folk overvåker mønsteret i kommunikasjonen. Og dessverre er det en enorm mengde som kan læres av den typen dataanalyse og metadata. Så vi er bare i begynnelsen av en lang kamp for å beskytte Internett-brukere og Internett mot disse problemene. Du kan være trygg på at helt til vi lykkes, skurkene, det være seg hackere eller myndigheter, vil bruke disse teknikkene mot oss.
Hva er egentlig problemet med at regjeringer har muligheten til å gå gjennom en bakdør for å lese kryptert informasjon på en enhet gitt at de går gjennom de rette juridiske utfordringene?
AS: Når folk sier bakdører og sårbarheter, er det kortfattet for flere forskjellige tilnærminger regjeringen kan ta og ha tatt for å opprettholde tilgangen til data.
En metode er når myndighetene tillater et selskap å implementere en slags kryptering, men insisterer på at det har en slags sårbarhet eller mangel som fremdeles lar dem komme inn.
Problemet er at du ikke kan ha en feil som ikke kan utnyttes av alle. Når det først er et hull der, kan hvem som helst pirke seg rundt og se etter det hullet… disse tingene blir til slutt funnet ut. Kanskje ikke med en gang, men de blir det til slutt. De blir brutt inn i, og de kommer til å bli brutt inn av skurkene.
Intervjuer ble gjennomført separat via telefon og Skype, og svarene ble redigert for kortfattethet og klarhet .
