Bár a PRISM program körül kialakult botrány felértékelheti az adattitkosítást, szakértők igyekeznek lehűteni a várakozásokat: ez sem csodaszer.
A Guardian által a közelmúltban kirobbantott lehallgatási botrány, valamint a PRISM-ről napvilágra került információk igencsak felkavarták a biztonsági piacot. (Összefoglalónkat a történtekről egy kattintásnyira olvashatják.) Az ügy kapcsán biztonsági szakértők is aktivizálták magukat, javaslatokat adtak a helyzet kezelésére egyéni és üzleti felhasználóknak egyaránt. Mi is kikértük a téma elismert hazai szakértőja, Krasznay Csaba véleményét, aki a Közszolgálati Egyetemen kutatja és oktatja az információbiztonságot. Krasznay kitért a PRISM-botrány egy fontos vetületére is, a biztonságra, amely a nemzetközi szakmai közvéleményt is egyre jobban foglalkoztatja. Az alábbiakban a titkosítás körül kialakult dilemmákat foglaljuk össze.



Ahol a titkosítás nem segít Hogyan védekezhetnek a felhasználók az adatgyűjtés ellen? Hogyan akadályozhatják meg, hogy a különféle szolgáltatókhoz feltöltött adataikat, fájljaikat akár a titkosszolgálatok, akár a hackerek olvasható formában megkaparinthassák? A legkézenfekvőbb megoldás a titkosítás alkalmazása lenne. Ám egyre több szakértő hívja fel a figyelmet arra, hogy a fájlok, adatok kódolása önmagában közel sem jelent teljes körű megoldást, ráadásul, mint arra cikkében Krasznay Csaba is felhívja a figyelmet, „ezekkel komolyan veszíthetünk a felhasználás kényelmességéből”.

A begyűjtött adatok köre eleve nagyban befolyásolja azt, hogy mennyire hatékony a titkosítás a megfigyelések ellen. A Verizonnak például kizárólag metaadatok kellett átadnia az NSA-nak, vagyis magát a kommunikációt nem figyelte meg az ügynökség (legalábbis nem tömegesen). Ebből azonban egyenesen következik, hogy hiába alkalmazták volna a Verizon ügyfelei a titkosítást, a hívásokra vonatkozó alapinformációkat (telefonszám, hívás helye és időtartama, stb.) nem tudták volna elrejteni.

Hasonló a helyzet azoknál az online szolgáltatóknál is, amelyek lehetőséget biztosítanak például fájlok védett tárolására. Az állományokat tárolhatjuk kódolva, ám attól még a szolgáltató a rendszerbe történő bejelentkezési adatokat, IP-címeket le tudja menteni, és adott esetben át tudja adni a hatóságoknak.

"Ha felhívok valakit, vagy engem hívnak fel, akkor a titkosítással semmire sem megyünk. Ez ugyanis nem a kommunikáció, hanem a végpontok lehallgatása" – mondta a metaadatok átadásáról Bruce Schneier, az ismert amerikai biztonsági szakértő, akinek Schneier a biztonságról című könyve magyarul is olvasható. A szakember szerint a végpontok védelme sokkal nehezebb feladat, mint a beszéd, a levelezés vagy a telefonhívások titkosítása, ugyanis meg kell „mondanunk” a szolgáltatónknak, hogy kivel akarunk beszélni. A telefonszámot nem kódolhatjuk, mert arra a szolgáltatónak szüksége van a hívások lebonyolításához.

Az adatok kódolása csak akkor tudja meggátolni a megfigyeléseket, ha a titkosítás az adatok teljes életciklusát végigkíséri. Ennek megvalósítása azonban bonyolult és drága.

És amikor érdemes titkosítani Teljesen más a helyzet, ha magát a kommunikációt, a hálózaton átvitt adatokat vagy a felhőben tárolt fájlokat akarjuk elrejteni az avatatlan szemek elől. Ilyenkor a titkosítás már jó eszköz lehet, bár a szakemberek meglehetősen óvatosan nyilatkoztak erről is. Matthew Green, a Johns Hopkins Egyetem professzora az adatkommunikáció titkosításában kulcsszerepet játszó SSL kapcsán arra hívta fel a figyelmet, hogy az SSL-lel többféle védelmi szint valósítható meg, és azok hatékonysága nagymértékben függ az alkalmazott titkosítási eljárásoktól, a kulcsméretektől stb. Nyilvánvalóan nem mindegy, hogy például az NSA milyen szintű védelemmel találja magát szembe. Ráadásul – véli Green – meglehetősen nehéz is megítélni a titkosszolgálatok technológiai képességeit.

"Fogalmunk sincs, mire képes az NSA. Azt azonban joggal feltételezhetjük, hogy ha fel is tud törni modern titkosításokat, azt csak nagy költségek mellett képes megtenni. Ez pedig ellentmond a titkosított kapcsolatok nem célzott, tömeges lehallgatásának" – mondta .

Dwayne Melancon, az amerikai Tripwire műszaki igazgatója (a cég biztonsági megoldásait egyébként kormányzati szervek is használják) a PRISM, illetve a felmerült titkosítási dilemmák kapcsán úgy nyilatkozott, hogy az adatok kódolása csak akkor tudja meggátolni a megfigyeléseket, ha a titkosítás az adatok teljes életciklusát végigkíséri, tehát az adatok keletkezésekor, a tárolásakor, továbbításakor, feldolgozásakor és mentésekor is adott. Ennek megvalósítása azonban bonyolult és drága. És akkor arról még nem is beszéltünk, hogy a felhőalapú szolgáltatások esetében a kulcsmenedzsment további problémákat hordoz magában.

Az amerikai megfigyelési ügy margójára
Cégek, kémek, hallgatózók – a PRISM-botrány USA-tól Kínáig
Támad az NSA – adatvédelmi botrány Amerikában

Van-e megoldás? Abban egyébként konszenzus van a szakértők körében, hogy titkosítani célszerű, még ha az nem is biztosítja az anonimitást, tehát nem véd az adatgyűjtések ellen. A fájlok, levelek stb. visszafejtését ugyanakkor megnehezítheti, időigényessé, célszerűtlenül drágává teheti. Érdemes tehát olyan online szolgáltatásokat használni, amelyek nagy hangsúlyt fektetnek a biztonságos kommunikációra, mint ahogy például a RedPhone, a TextSecure vagy a Cryptocat teszi.

(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)

42. Körkapcsolás: Mi és az MI

Mekkora teret hagy a projektmenedzsereknek a mesterséges intelligencia? Többek között erre az aktuális kérdésre keresték a választ a PMSZ rendezvényén.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.