Rossz irány, ha az állam a biztonságra hivatkozva szándékosan gyengíti a titkosítást. Krasznay Csaba kiberbiztonsági szakértő írása.

A napokban közöltünk rövid összefoglalót arról a MIT (Massachusetts Institute of Technology) által kiadott vitairatot, melyben a világ legnevesebb kriptográfusai közösen kerestek megoldást a személyiségi jogok védelmének és a biztonságnak az összehangolására. A szerzők – többek között Daniel Weitzner, az MIT számítástudománnyal és mesterséges intelligenciával foglalkozó laborjának igazgatója, a szintén MIT-es kriptográfus, Ronald Rivest vagy a digitális jogok egyik fontos gondolkodója, Bruce Schreier – azonban nem hogy megoldást nem találnak, de még több kérdéssel szembesülnek. (Az összefoglalót egy kattintásnyira találják.)

Megkértük Krasznay Csaba kiberbiztonsági szakértőt, a Balabit Security munkatársát, helyezze a tanulmány gondolatait kontextusba. Az alábbiakban az ő gondolatait olvashatják.

A szuper dekódoló kulcs problémája

Vannak cikkek, amikre érdemes odafigyelni. Az információbiztonság területén ez a pillanat akkor érkezik el, amikor a legnagyobb élő kriptográfusok közösen jegyeznek egy tanulmányt. Az MIT-en megjelent (szabadfordításban) Kulcsok a lábtörlő alatt: előírt biztonságvesztés a kormányzati adat- és kommunikáció-hozzáférés miatt című írás ilyen.

Az IT biztonságra figyelő közönség nyilván észrevette, hogy az utóbbi években elég magasra csaptak a kriptográfiával kapcsolatos viták. Miközben sorra dőlnek meg a titkosítást így-úgy megvalósító megoldások, törik fel a hitelesítésszolgáltatókat, foltozzák be a több évtizedes hibákat, a kormányzatok egyre több mindenhez szeretnének egyre könnyebben hozzáférni, kikerülve a kriptográfiai megoldásokat.

A szerzőket ez a helyzet késztette arra, hogy billentyűzetet ragadjanak.

Krasznay Csaba
kiberbiztonsági szakértő, Balabit Security

A vita kiváltó oka az, hogy mind az amerikai, mind a brit kormányzat szó szerint mindent szeretne látni, ha valamilyen érdeke azt kívánja. Ehhez pedig megkövetelné a gyártóktól és szolgáltatóktól, hogy adjanak hozzáférést a titkosított információkhoz, egyfajta "szuper dekódoló kulcs" segítségével. Az FBI igazgatója, James Comey ezt így fogalmazta meg: "Nem hátsókapukat keresünk. Mi a főbejáratot szeretnénk használni, világosan és átláthatóan, a jog egyértelmű útmutatásával."

Szép szavak, különösen a mai, veszélyes világban. Persze amikor a Snowden-aktákból sorra derülnek ki az amerikai "hátsókapuk", azaz backdoorok, valószínűleg ez a megközelítés védhetőbb is a nyilvánosság előtt.

A politika azonban nem feltétlenül kell, hogy tisztában legyen a műszaki realitásokkal. A jelek szerint nincs is. A szerzők számos kérdést tesznek fel, melyekre a válaszok egyelőre nem látszanak. Számomra a legérdekesebb felvetés ez: "Az egyik nem szándékos hatása az ilyen programoknak az, hogy a kriptográfiai erősség jelentősen csökkenni fog. Ez tovább fogja gyengíteni az egyébként is törékeny és nem biztonságos információs infrastruktúránkat. Hogyan fogjuk ösztönözni a vállalatokat, hogy továbbra is titkosítsák az érzékeny felhasználói kommunikációt?". Különösen úgy, ha a világ tudja, hogy gyenge a kriptográfia. Vajon hányan fogják ezeket a gyengítéseket keresni? Vajon mikor tűnik fel a feketepiacon az a bizonyos "szuper dekódoló kulcs", amivel a szervezett bűnözés mindennél jobban visszaélhet?

A politika mindig is így működött

Összességében tehát erős politikai nyomás nehezedik az információbiztonsággal foglalkozó közösségre. Ez a nyomás nem új. 1997-ben már volt egy ilyen, szerencsére hamvába holt kezdeményezés. Bruce Schneier, a tanulmány egyik társszerzője már 2005-ben leírta: "Vigyázzunk az Információs Apokalipszis négy lovasával: a terroristákkal, a drogdílerekkel, az emberrablókkal és a pedofilokkal. Úgy néz ki, hogy a társadalmat ezekkel bármikor meg lehet félemlíteni úgy, hogy erre a négyre hivatkozva a kormányzat bármit megtehessen."

Holott a tömeges megfigyelés, a "szuperkulcs" nyilván könnyebbé tenné a bűnüldöző hatóságok munkáját, de nem fogja helyettesíteni azokat a klasszikus módszereket, mint például az informátorok alkalmazása vagy a fedett nyomozás. A Hacking Team esete pedig rávilágít arra, hogy a végpontok célzott megfigyelésére is kiváló megoldások vannak. Akkor miért is kéne az átvitel-titkosítás vagy a tárolt adatok kódolása miatt annyira aggódniuk?

Biztonság

MI-vezérelt embermosógép készül Japánban

A pilótafülkére emlékeztető szerkezet gyors mosó-szárító programot és teljes felfrissülést ígér a felhasználóknak.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.