Rossz irány, ha az állam a biztonságra hivatkozva szándékosan gyengíti a titkosítást. Krasznay Csaba kiberbiztonsági szakértő írása.

A napokban közöltünk rövid összefoglalót arról a MIT (Massachusetts Institute of Technology) által kiadott vitairatot, melyben a világ legnevesebb kriptográfusai közösen kerestek megoldást a személyiségi jogok védelmének és a biztonságnak az összehangolására. A szerzők – többek között Daniel Weitzner, az MIT számítástudománnyal és mesterséges intelligenciával foglalkozó laborjának igazgatója, a szintén MIT-es kriptográfus, Ronald Rivest vagy a digitális jogok egyik fontos gondolkodója, Bruce Schreier – azonban nem hogy megoldást nem találnak, de még több kérdéssel szembesülnek. (Az összefoglalót egy kattintásnyira találják.)

Megkértük Krasznay Csaba kiberbiztonsági szakértőt, a Balabit Security munkatársát, helyezze a tanulmány gondolatait kontextusba. Az alábbiakban az ő gondolatait olvashatják.

A szuper dekódoló kulcs problémája

Vannak cikkek, amikre érdemes odafigyelni. Az információbiztonság területén ez a pillanat akkor érkezik el, amikor a legnagyobb élő kriptográfusok közösen jegyeznek egy tanulmányt. Az MIT-en megjelent (szabadfordításban) Kulcsok a lábtörlő alatt: előírt biztonságvesztés a kormányzati adat- és kommunikáció-hozzáférés miatt című írás ilyen.

Az IT biztonságra figyelő közönség nyilván észrevette, hogy az utóbbi években elég magasra csaptak a kriptográfiával kapcsolatos viták. Miközben sorra dőlnek meg a titkosítást így-úgy megvalósító megoldások, törik fel a hitelesítésszolgáltatókat, foltozzák be a több évtizedes hibákat, a kormányzatok egyre több mindenhez szeretnének egyre könnyebben hozzáférni, kikerülve a kriptográfiai megoldásokat.

A szerzőket ez a helyzet késztette arra, hogy billentyűzetet ragadjanak.

Krasznay Csaba
kiberbiztonsági szakértő, Balabit Security

A vita kiváltó oka az, hogy mind az amerikai, mind a brit kormányzat szó szerint mindent szeretne látni, ha valamilyen érdeke azt kívánja. Ehhez pedig megkövetelné a gyártóktól és szolgáltatóktól, hogy adjanak hozzáférést a titkosított információkhoz, egyfajta "szuper dekódoló kulcs" segítségével. Az FBI igazgatója, James Comey ezt így fogalmazta meg: "Nem hátsókapukat keresünk. Mi a főbejáratot szeretnénk használni, világosan és átláthatóan, a jog egyértelmű útmutatásával."

Szép szavak, különösen a mai, veszélyes világban. Persze amikor a Snowden-aktákból sorra derülnek ki az amerikai "hátsókapuk", azaz backdoorok, valószínűleg ez a megközelítés védhetőbb is a nyilvánosság előtt.

A politika azonban nem feltétlenül kell, hogy tisztában legyen a műszaki realitásokkal. A jelek szerint nincs is. A szerzők számos kérdést tesznek fel, melyekre a válaszok egyelőre nem látszanak. Számomra a legérdekesebb felvetés ez: "Az egyik nem szándékos hatása az ilyen programoknak az, hogy a kriptográfiai erősség jelentősen csökkenni fog. Ez tovább fogja gyengíteni az egyébként is törékeny és nem biztonságos információs infrastruktúránkat. Hogyan fogjuk ösztönözni a vállalatokat, hogy továbbra is titkosítsák az érzékeny felhasználói kommunikációt?". Különösen úgy, ha a világ tudja, hogy gyenge a kriptográfia. Vajon hányan fogják ezeket a gyengítéseket keresni? Vajon mikor tűnik fel a feketepiacon az a bizonyos "szuper dekódoló kulcs", amivel a szervezett bűnözés mindennél jobban visszaélhet?

A politika mindig is így működött

Összességében tehát erős politikai nyomás nehezedik az információbiztonsággal foglalkozó közösségre. Ez a nyomás nem új. 1997-ben már volt egy ilyen, szerencsére hamvába holt kezdeményezés. Bruce Schneier, a tanulmány egyik társszerzője már 2005-ben leírta: "Vigyázzunk az Információs Apokalipszis négy lovasával: a terroristákkal, a drogdílerekkel, az emberrablókkal és a pedofilokkal. Úgy néz ki, hogy a társadalmat ezekkel bármikor meg lehet félemlíteni úgy, hogy erre a négyre hivatkozva a kormányzat bármit megtehessen."

Holott a tömeges megfigyelés, a "szuperkulcs" nyilván könnyebbé tenné a bűnüldöző hatóságok munkáját, de nem fogja helyettesíteni azokat a klasszikus módszereket, mint például az informátorok alkalmazása vagy a fedett nyomozás. A Hacking Team esete pedig rávilágít arra, hogy a végpontok célzott megfigyelésére is kiváló megoldások vannak. Akkor miért is kéne az átvitel-titkosítás vagy a tárolt adatok kódolása miatt annyira aggódniuk?

Biztonság

Több infót csöpögtet a Google az androidos felhasználóknak

A Play áruházban jövőre ilyenkor már sokkal részletesebb tájékoztatást kapnak róla, hogy mit és miért bűvészkednének az adataikkal a telepítésre váró appok.
 
Májusi mellékletünkben az IT infrastruktúra automatizálásának aktuális kérdéseit járjuk körül, figyelembe véve az üzemeltetői és a fejlesztői megfontolásokat is.

a melléklet támogatója az EURO ONE Számítástechnikai Zrt.

Az elmúlt tíz évben radikális változás történt az adatfeldolgozásban, ami az infrastruktúrát is átalakította.

a melléklet támogatója a Dell Magyarország

Ha bővítené tudását és fejlődne a digitális transzformáció területén, látogasson el a Transformation-experts.hu oldalra, ahol egy gyors regisztráció után inspiráló cikkek, esettanulmányok, prezentációk, videók és egyéb szakértői anyagok széles tárházához kap hozzáférést.

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.