FBI zaszyło pluskwy w szyfrowaniu dla serwerów

Do twórców serwerowego systemu operacyjnego BSD Unix (odłam OpenBSD) dotarła właśnie informacja, że sfinansowane 10 lat temu z rządowych pieniędzy oprogramowanie szyfrujące zawiera celowo wprowadzone luki mające ułatwić łamanie tych szyfrów.

Protokół i oprogramowanie IPSEC służy do szyfrowania ruchu sieciowego i  jest na przykład używane do szyfrowania połączeń wirtualnych sieci prywatnych (VPN) pomiędzy oddziałami firm.

Według wiadomości jakie dotarły do zespołu tworzącego OpenBSD, sponsorowany przez rząd amerykańska firma NETSEC wprowadziła do tworzonego dla OpenBSD oprogramowania IPSEC luki, dzięki którym służby specjalne mogły z łatwością łamać transmisje zaszyfrowane za pomocą IPSEC. Luki polegały na ujawnianiu części klucza szyfrującego w trakcie transmisji i zostały wprowadzone na przełomie tysiącleci, kiedy rząd amerykański panicznie się bał, że przestępcy i terroryści zaczną używać komputerów osobistych do szyfrowania informacji w sposób, którego nie pokonają nawet potężne rządowe komputery. Oficjalnie próbowano zadekretować wówczas używanie układu szyfrującego Clipper, mającego oficjalne "tylne wejście" dla umożliwienia podsłuchu, jednak ta inicjatywa została szybko storpedowana przez organizacje broniące praw obywatelskich. Jednak jak wynika z ujawnionych informacji nie poprzestali tylko na tym.

Wiadomość o pluskwach w IPSEC została ujawniona, gdy ludzi z NETSEC przestały obowiązywać zobowiązania do zachowania tajemnicy przez okres 10 lat. Smaczku sytuacji dodaje fakt, że OpenBSD jest systemem operacyjnym chlubiącym się najwyższym możliwym poziomem bezpieczeństwa, pierwszym systemem który udostępnił oprogramowaniu usługi kryptograficzne (właśnie m. in przez IPSEC), a kod dziurawego IPSEC-a trafił też do innego oprogramowania. Jednak inne popularne systemy szyfrowania ruchu sieciowego takie jak FreeS/WAN i OpenSWAN nie wywodzą się z OpenBSD i są bezpieczne.

Jednak nie zawsze zaangażowanie służb specjalnych ma negatywny wpływ na bezpieczeństwo technologii. Przez wiele lat społeczność cywilnych kryptologów patrzyła podejrzliwie na szyfr DES (Data Encryption Standard, poprzednik obecnie używanego AES), który podczas tworzenia w latach siedemdziesiątych dwudziestego wieku, został zmodyfikowany na żądanie amerykańskiej Agencji Bezpieczeństwa Narodowego. Wiadomo było jakie zmiany zostały wprowadzone, nie było wiadomo dlaczego. To okazało się dopiero niedawno. Dzięki tym zmianom DES został dodatkowo zabezpieczony przeciwko metodzie łamania szyfrów (kryptoanalizie różnicowej), która była już znana kryptologom pracującym dla amerykańskiego rządu, ale nie "cywilom". Dla świata dwadzieścia lat później ponownie odkrył ją Adi Shamir.

Różnica między podejściem FBI i NSA jest jednak taka, że NSA chciało bronić amerykańskich tajemnice przed radzieckimi szpiegami, były to lata zimnej wojny, a FBI trzydzieści lat później - pilnować swoich obywateli. A kto obroni amerykańskich obywateli przed FBI?

 

[na podstawie wiadomości opublikowanych na marc.info, @letoams, openbsd.org, za Slashdot]

Janusz A. Urbanowicz

Więcej o: