Золотой ключик, или Приключения Буратино в стране криптографии

Так как граждане надежно шифруют информацию, государства мира не могут ее прочитать. Поэтому власти требуют, чтобы ИТ-гиганты использовали заведомо уязвимые системы шифрования. Конечно, это плохая идея.

Словесные атаки на зашифрованные способы общения в Интернете вновь усилились после недавних терактов. Однако предлагаемые рецепты создают не меньше проблем, чем решают.

Государственные деятели разных стран — от России до США, от Китая до Великобритании — на разные голоса повторяют одну и ту же мысль: граждане шифруют информацию так надежно, что государство не может ее читать. Государство из-за этого не может ловить педофилов и террористов, поэтому «надо что-то решать».

Золотой ключик, или Приключения Буратино в стране криптографии

Под решением обычно подразумевается создание заведомо уязвимой системы шифрования, которая позволит компетентным органам получать доступ к переписке при необходимости.

Ранее редакция Washington Post поэтично назвала это «золотым ключом», заодно еще раз рассказав про похитителей детей и других людей, которых невозможно ловить без данной системы. Реализовать «золотой ключ» для государственных нужд по задумке авторов должны все технологические компании: Google, Apple, Facebook, Telegram и так далее.

Не вдаваясь в полемику на этические темы (они бесконечны), сосредоточимся на одном простом аспекте — «золотой ключик» в конечном счете достанется Карабасу-Барабасу, то есть совсем не благородным людям из полиции.

Примеров реализации идеи «золотого ключика» есть немало. Самый очевидный, буквальный, очень похожий по сценарию использования — это кодовые замки на чемоданах, имеющие также скважину для ключа, так называемые TSA Locks. TSA — это американская служба безопасности на транспорте.

https://twitter.com/UTB404/status/555203693415763969

Чтобы досматривать чемоданы, не ломая замков, американцы создали систему, в которой каждый замок на чемодане открывается одним из десятка «золотых ключей». Конечно, по задумке ключи эти есть только у TSA, а воришкам чемоданным придется открывать свою добычу как-то иначе.

Увы, в этом году в Интернет были выложены фото всех ключей TSA, немного позже появились 3D-модели, а сейчас на китайских сайтах за сущие копейки можно приобрести уже целиком готовый к использованию набор нормальных металлических ключей, прямо как в TSA. Что делать? А ничего. Всем чемоданы не заменишь.

https://twitter.com/J0hnnyXm4s/status/642396940261531648

Другой пример системы, защищенной замком и нарисованным очагом, — магазины приложений, например App Store у Apple. Вся система их безопасности основана на том, что доступ к публикации имеют только сотрудники, которые проверяют приложения на предмет вредоносности и подписывают их своим сертификатом.

Вроде как сертификатов у Apple не крали, но нашелся другой маневр — некоторым разработчикам подсунули модифицированную версию среды разработки Xcode, которая внедряла в приложения тщательно замаскированный вредоносный код. Код пропустили при проверке приложений, и во внешне неприступном App Store появилось несколько десятков зараженных вредоносной функциональностью приложений, в том числе один очень популярный мессенджер.

Если сильно напрячь память и припомнить, что в конце XX века видеодиски DVD имели криптографическую защиту на основе печально известного алгоритма CSS, чтобы предотвратить просмотр дисков в других регионах мира, то можно вспомнить и бесславный конец этой системы. Активисты вычислили ряд ключей, зашитых в систему, и сделали их общеизвестными. С тех пор любой DVD можно без особых проблем просмотреть в любой точке мира.

Код для расшифровки DVD даже печатали на футболках

Код для расшифровки DVD даже печатали на футболках

Мораль этих историй очень проста: система, основанная на том, что у хороших парней есть несколько сот байт информации, а у плохих — нет, рано или поздно даст трещину. Как только это произойдет, злонамеренные личности смогут делать с аккаунтами и данными добропорядочных граждан что им вздумается — у них будет ровно столько же возможностей, сколько у правоохранительных органов.

Эта перспектива довольно неприятна, поскольку заменить, скажем, прошивки во всех телефонах всех производителей во всем мире будет не сильно проще, чем замки на чемоданах. Весьма вероятно, что вред, причиненный подобной атакой, быстро превысит всю пользу «золотых ключей», извлеченную компетентными органами в предыдущий период.

Впрочем, есть предпосылки считать эту гипотетическую пользу незначительной. Подрывные элементы и преступники охотно пользуются узкоспециализированными, непопулярными системами шифрования и могут скрываться от государственного ока, несмотря на «золотые ключи». Поэтому лучше бы правительствам всех стран придумать иной, более эффективный и менее массовый способ следить за преступниками.

Не попадись на удочку мошенников во время праздничных распродаж

На носу «Черная пятница» и “Киберпонедельник”, а следом за ними — целый месяц предновогоднего шопинга. Сегодня поговорим о том, какие неприятности могут подстерегать любителей скидок и распродаж.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.