暗号化を信頼することは非常に難しくなりました

2013年5月、エドワードスノーデンは、暗号化されたデジタル通信に対する私たちの認識を揺るがすだろう流域ドキュメントのリリースを開始しました。 セキュリティの専門家、暗号化に依存する人々、さらには暗号化アプリケーションの作成者でさえ、暗号化を再び信頼することは不可能であるかもしれないと悩んでいます。

信頼できないもの

暗号化の背後にある数学はまだしっかりしているように見えるため、特に複雑な問題です。 過去1年間に疑問視されてきたのは、暗号化の実装方法です。 National Institute of Standards and Testing（NIST）やMicrosoftなどの組織は、暗号化標準を侵害し、政府機関と共謀していると言われています。

2013年11月、スノーデンは、NISTが暗号化アルゴリズムを弱めていると非難し、他の政府機関が監視を実施できるようにする文書をリリースしました。 告発されると、NISTは自らを立証する措置を講じました。 このブログのNISTのチーフサイバーセキュリティアドバイザーであるDonna Dodsonによれば、「機密文書の漏洩に関するニュースレポートは、暗号化コミュニティからNIST暗号化標準およびガイドラインのセキュリティに関する懸念を引き起こしました。 NIST標準開発プロセスの整合性に疑問を呈しました。」

NISTは当然のこととして懸念しています。世界の暗号の専門家の信頼がなければ、インターネットの基盤は揺らぐでしょう。 NISTは2014年4月22日にブログを更新し、NISTIR 7977で受け取ったパブリックコメント、NIST暗号化標準およびガイドライン開発プロセス、標準を研究した専門家からのコメントを追加しました。 NISTと暗号化コミュニティが同意できる解決策に到達できることを願っています。

巨大なソフトウェアプロバイダーであるMicrosoftで起こったことは、もう少し曖昧でした。 Redmond Magazineによると、FBIとNSAの両方がMicrosoftに、同社のドライブ暗号化プログラムであるBitLockerへのバックドアを組み込むように依頼しました。 この記事の著者であるChris Paoliは、BitLockerチームの責任者であるPeter Biddleにインタビューしました。Microsoftは、政府機関によって厄介な立場に置かれていると述べました。 しかし、彼らは解決策を見つけました。

「Biddleはバックドアでの構築を拒否していますが、彼のチームはFBIと協力して、ユーザーのバックアップ暗号化キーのターゲット設定など、データの取得方法を教えました」とPaoli氏は説明しました。

TrueCryptについてはどうですか？

ほこりは、MicrosoftのBitLockerの周囲にほぼ収まりました。 その後、2014年5月、秘密のTrueCrypt開発チームは暗号化の世界に衝撃を与え、最高のオープンソース暗号化ソフトウェアであるTrueCryptが利用できなくなったことを発表しました。 TrueCrypt Webサイトにアクセスしようとすると、このSourceForge.net Webページにリダイレクトされ、次の警告が表示されました。

Snowdenドキュメントのリリース前であっても、この種の発表は、データを保護するためにTrueCryptに依存している人々に衝撃を与えました。 疑わしい暗号化プラクティスを追加すると、ショックは深刻な不安に変わります。 さらに、TrueCryptを支援したオープンソースの支持者は、TrueCrypt開発者がMicrosoft独自のBitLockerを使用することを誰もが推奨しているという事実に直面しています。

言うまでもありませんが、陰謀理論家はこれを使って実地調査を行いました。 決定の背後にある理由に関して多くの異なる意見があります。 最初、Dan GoodinやBrian Krebsなどの専門家はWebサイトがハッキングされたと考えていましたが、両方をチェックした結果、両方ともその概念は却下されました。

この議論と一致する2つの一般的な理論：

• Microsoftは、競合を排除するためにTrueCryptを購入しました（BitLockerの移行指示がこの理論を後押ししました）。
• 政府の圧力により、TrueCryptの開発者はWebサイトを閉じることを余儀なくされました（Lavabitに起こったことと同様）。

政府機関が暗号化開発者にどのように関与しているかを誰も知らないという理由だけで、疑念はすべての形式の暗号化に投げかけられています。 2013年9月のブログ投稿で、世界的に有名なセキュリティの専門家であるBruce Schneierは、「新しいSnowdenの啓示は爆発的です。基本的に、NSAはインターネットのほとんどを解読できます。数学。これを忘れないでください：数学は良いのですが、数学にはエージェンシーがありません。コードにはエージェンシーがあり、コードは破壊されました。」

コードへの信頼の欠如は今日も続いています。 暗号作成者がTrueCrypt（IsTrueCryptAuditedYet）の徹底的なレビューを行っているという事実は、存在し続ける不確実性の代表的な例です。

信頼できるもの

エドワード・スノーデンとブルース・シュナイアーはどちらも、暗号化はいまだに個人情報や会社の機密情報からeyes索好きな目を遠ざけるための最良のソリューションであると言っています。

ACLUのACLUの主任技術者Christopher SoghoianとBen WiznerとのSXSWのインタビューで、Snowden氏は次のように述べています。デジタルの世界に。」

その後、スノーデンは個人的な例を提供しました。 NSAは、漏れたドキュメントを把握するために懸命に取り組んできましたが、ファイルを解読できないという理由だけで、彼らは何も知りません。 暗号化に関しては、ブルース・シュナイアーもすべてです。 それでも、シュナイアーは警告で彼のサポートを和らげました。

「クローズドソースソフトウェアは、オープンソースソフトウェアよりもNSAのバックドアになりやすい。マスターシークレットに依存するシステムは、合法または秘密の手段により、NSAに対して脆弱です」と彼は言いました。

皮肉なことに、Schneierのコメントは、TrueCryptが閉鎖される前、およびTrueCryptの開発者がBitLockerを使用することを提案し始める前に作成されました。 皮肉なことに、TrueCryptはオープンソースですが、BitLockerはクローズドソースです。