Edward Snowden dokumentumai újabb és újabb problémákat hoznak felszínre. Most a titkosítás került terítékre. A kiszivárgott infókból ugyanis arra lehet következtetni, hogy az amerikai Nemzetbiztonsági Ügynökség (NSA – National Security Agency) komoly anyagi és technológiai erőforrásokat vetett be, hogy titkosított adatokhoz is hozzáférjen. Snowden szerint az ügynökség 2000 óta több milliárd dollárt költött ilyen célú projektekre. Állítólag több mint 250 millióba került a Sigint Enabling Projectre, amelynek az volt a célja, hogy kereskedelmi szoftverekben lehessen különféle kiskapukat kiaknázni.

Az NSA komoly arzenált vetett be: szuperszámítógépekkel történő kódfejtést, brute force módszereket, sérülékenységek kihasználását és így tovább. Az ügyben megszólaló szakértők ugyanakkor továbbra is azon a véleményen vannak, hogy ha igaz is mindez, a titkosításról akkor sem szabad lemondani.




Elmélet és gyakorlat ■ Stephen A. Weis, a Massachusetts Institute of Technology (MIT) kriptográfiával foglalkozó kutatója szerint a titkosítások önmagukban – ha a matematikai alapjait is nézzük – nagyon nehezen törhetők. Szerinte az NSA a kódfejtést inkább arra alapozhatta, hogy a titkosításokat megvalósító algoritmusokban, szoftveres összetevőkben keresett hibákat, és azokat próbálta a saját javára fordítani. Egyes dokumentumokból az derült ki, hogy az NSA az NIST által korábban jóváhagyott Dual_EC_DRBG titkosítási szabványba egy hátsó kaput hagyott. Weis szerint ezt a szabványt, bár régóta létezik, 2007. óta nagyon kevesen alkalmazzák, akkor ugyanis a Microsoft két mérnöke felfedezett benne egy kiskaput. (A szabvány véletlenszámok kezelésére vonatkozó előírásaival kapcsolatos problémák már 2006-ban is foglalkoztatták a szakembereket.) "Eddig még nem találkoztam arra utaló jellel, hogy egy olyan algoritmust, mint amilyen az AES (Advanced Encryption Standard) feltörtek volna" – mondta Weis.

Lényegében a MIT kutatójának a véleményét erősítette meg a Voltage Security biztonsági igazgatója, Dave Anderson is: "Ha ezeket az algoritmusokat megfelelően implementálják, akkor a titkosítás lényegében feltörhetetlen", azaz a kulcs a megvalósítás. Ha a titkosítások megvalósításába nem csúszik hiba, akkor akár egy szuperszámítógéppel is rengeteg időbe kell egy kód megfejtéséhez. Ha azonban az implementálás problémás, vagy a kulcsmenedzsmenthez tartozó folyamatok nem megfelelőek, akkor egy hagyományos PC-vel is gyorsan megvan a törés. Anderson ezek alapján szintén arra a következtetésre jutott, hogy az NSA valószínűleg a sebezhetőségek feltárására és a kulcsmenedzsment esetleges hiányosságaira fókuszálhatott.

Kell használni titkosítást! ■ Hiába vannak kételyek, nem szabad lemondani a titkosítás nyújtotta védelemről. Napjainkban még mindig gyakori, hogy az elektronikus levelek, a webes szolgáltatások, az üzenetváltások stb. titkosítatlanul keringenek a neten. Ezek lehallgatása így nem okoz különösebb nehézséget. Titkosítással némileg megnehezíthető az adatokhoz való hozzáférés, már ha megfelelő eszközöket használunk.


Megfontolandó például, hogy nyílt forráskódú megoldásokhoz forduljunk. Az OpenSSL-lel és a hozzá hasonlókkal például a Marble Security szerint olyan eszközökhöz juthatunk, melyek változásai folyamatosan nyomon követhetők, és szakemberek, fejlesztők ezrei tudják ellenőrizni azt, hogy az algoritmusok implementálásába nem csúszott-e hiba, illetve hogy vannak-e hátsó kapuk.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}