A Guardian által a közelmúltban kirobbantott lehallgatási botrány, valamint a PRISM-ről napvilágra került információk igencsak felkavarták a biztonsági piacot. (Összefoglalónkat a történtekről egy kattintásnyira olvashatják.) Az ügy kapcsán biztonsági szakértők is aktivizálták magukat, javaslatokat adtak a helyzet kezelésére egyéni és üzleti felhasználóknak egyaránt. Mi is kikértük a téma elismert hazai szakértőja, Krasznay Csaba véleményét, aki a Közszolgálati Egyetemen kutatja és oktatja az információbiztonságot. Krasznay kitért a PRISM-botrány egy fontos vetületére is, a biztonságra, amely a nemzetközi szakmai közvéleményt is egyre jobban foglalkoztatja. Az alábbiakban a titkosítás körül kialakult dilemmákat foglaljuk össze.



Ahol a titkosítás nem segít ■ Hogyan védekezhetnek a felhasználók az adatgyűjtés ellen? Hogyan akadályozhatják meg, hogy a különféle szolgáltatókhoz feltöltött adataikat, fájljaikat akár a titkosszolgálatok, akár a hackerek olvasható formában megkaparinthassák? A legkézenfekvőbb megoldás a titkosítás alkalmazása lenne. Ám egyre több szakértő hívja fel a figyelmet arra, hogy a fájlok, adatok kódolása önmagában közel sem jelent teljes körű megoldást, ráadásul, mint arra cikkében Krasznay Csaba is felhívja a figyelmet, „ezekkel komolyan veszíthetünk a felhasználás kényelmességéből”.

A begyűjtött adatok köre eleve nagyban befolyásolja azt, hogy mennyire hatékony a titkosítás a megfigyelések ellen. A Verizonnak például kizárólag metaadatok kellett átadnia az NSA-nak, vagyis magát a kommunikációt nem figyelte meg az ügynökség (legalábbis nem tömegesen). Ebből azonban egyenesen következik, hogy hiába alkalmazták volna a Verizon ügyfelei a titkosítást, a hívásokra vonatkozó alapinformációkat (telefonszám, hívás helye és időtartama, stb.) nem tudták volna elrejteni.

Hasonló a helyzet azoknál az online szolgáltatóknál is, amelyek lehetőséget biztosítanak például fájlok védett tárolására. Az állományokat tárolhatjuk kódolva, ám attól még a szolgáltató a rendszerbe történő bejelentkezési adatokat, IP-címeket le tudja menteni, és adott esetben át tudja adni a hatóságoknak.

"Ha felhívok valakit, vagy engem hívnak fel, akkor a titkosítással semmire sem megyünk. Ez ugyanis nem a kommunikáció, hanem a végpontok lehallgatása" – mondta a metaadatok átadásáról Bruce Schneier, az ismert amerikai biztonsági szakértő, akinek Schneier a biztonságról című könyve magyarul is olvasható. A szakember szerint a végpontok védelme sokkal nehezebb feladat, mint a beszéd, a levelezés vagy a telefonhívások titkosítása, ugyanis meg kell „mondanunk” a szolgáltatónknak, hogy kivel akarunk beszélni. A telefonszámot nem kódolhatjuk, mert arra a szolgáltatónak szüksége van a hívások lebonyolításához.


És amikor érdemes titkosítani ■ Teljesen más a helyzet, ha magát a kommunikációt, a hálózaton átvitt adatokat vagy a felhőben tárolt fájlokat akarjuk elrejteni az avatatlan szemek elől. Ilyenkor a titkosítás már jó eszköz lehet, bár a szakemberek meglehetősen óvatosan nyilatkoztak erről is. Matthew Green, a Johns Hopkins Egyetem professzora az adatkommunikáció titkosításában kulcsszerepet játszó SSL kapcsán arra hívta fel a figyelmet, hogy az SSL-lel többféle védelmi szint valósítható meg, és azok hatékonysága nagymértékben függ az alkalmazott titkosítási eljárásoktól, a kulcsméretektől stb. Nyilvánvalóan nem mindegy, hogy például az NSA milyen szintű védelemmel találja magát szembe. Ráadásul – véli Green – meglehetősen nehéz is megítélni a titkosszolgálatok technológiai képességeit.

"Fogalmunk sincs, mire képes az NSA. Azt azonban joggal feltételezhetjük, hogy ha fel is tud törni modern titkosításokat, azt csak nagy költségek mellett képes megtenni. Ez pedig ellentmond a titkosított kapcsolatok nem célzott, tömeges lehallgatásának" – mondta .

Dwayne Melancon, az amerikai Tripwire műszaki igazgatója (a cég biztonsági megoldásait egyébként kormányzati szervek is használják) a PRISM, illetve a felmerült titkosítási dilemmák kapcsán úgy nyilatkozott, hogy az adatok kódolása csak akkor tudja meggátolni a megfigyeléseket, ha a titkosítás az adatok teljes életciklusát végigkíséri, tehát az adatok keletkezésekor, a tárolásakor, továbbításakor, feldolgozásakor és mentésekor is adott. Ennek megvalósítása azonban bonyolult és drága. És akkor arról még nem is beszéltünk, hogy a felhőalapú szolgáltatások esetében a kulcsmenedzsment további problémákat hordoz magában.


Van-e megoldás? ■ Abban egyébként konszenzus van a szakértők körében, hogy titkosítani célszerű, még ha az nem is biztosítja az anonimitást, tehát nem véd az adatgyűjtések ellen. A fájlok, levelek stb. visszafejtését ugyanakkor megnehezítheti, időigényessé, célszerűtlenül drágává teheti. Érdemes tehát olyan online szolgáltatásokat használni, amelyek nagy hangsúlyt fektetnek a biztonságos kommunikációra, mint ahogy például a RedPhone, a TextSecure vagy a Cryptocat teszi.

(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)