Cryptographic Backdoors Explained
Cryptografie is verreweg een van de belangrijkste onderwerpen in het informatietijdperk. Elke keer dat u zich ergens aanmeldt, is er een algoritme dat uw wachtwoord verifieert met een hash-waarde die bepaalt of u zich kunt authenticeren in uw account of niet. Zo houden we hackers op afstand. Wat gebeurt er wanneer het algoritme dat je veilig moet houden een achterdeur heeft waardoor bepaalde mensen onbelemmerde toegang hebben tot je accounts en persoonlijke gegevens?
Op 19 mei 2015 drongen Apple en Google er bij de Amerikaanse president Barack Obama op aan om de technologiebedrijven in de particuliere sector te heroverwegen om backdoors op te nemen in hun cryptografische algoritmen. Ik probeer uit te leggen hoe dit ons beïnvloedt als consumenten van technologie en de kern van de corporaties die ons van die technologie voorzien.
Een beetje geschiedenis: Dual_EC_DRBG
Je zou kunnen worden vergeven als de term "Dual_EC_DRBG" klinkt als geheimzinnig gebrabbel voor jou, maar het is misschien een term die is gekoppeld aan een van de grootste schandalen in de geschiedenis van de coderingstechnologie. Ons verhaal begint in de vroege jaren 2000, toen elliptische curve-cryptografie wortel schoot in computersystemen. Tot die tijd was het genereren van een willekeurig getal pijnlijk vanwege de inherente voorspelbaarheid ervan. Weet je, mensen kunnen heel snel willekeurige getallen genereren, omdat we allemaal anders denken. Kun je vertellen op welk moment tussen 1 en 100.000 ik aan het denken ben? Je hebt een kans van 1: 100.000 om het juiste antwoord te krijgen als je gewoon willekeurig gokt. Dat is niet hetzelfde met computers. Ze zijn hier absoluut vreselijk, omdat ze meestal vertrouwen op andere vaste waarden om tot hun 'conclusies' te komen. Omdat ze niet kunnen 'denken', moeten we het proces voor hen samenvatten. Elliptische curve-cryptografie maakt het proces van het genereren van een willekeurig getal veel minder voorspelbaar dan conventionele methoden.
Terug naar het verhaal. De National Security Agency (NSA) duwde een module genaamd Dual_EC_DBRG als een mogelijkheid om deze nummers te genereren. Het werd niet aangenomen.
Daar houdt het echter niet op. In 2004 sloot de NSA een deal van $ 10 miljoen met de makers van het RSA-cryptosysteem (de mensen die op dat moment het meeste marktaandeel hadden in cryptografie) om van hun huisdierenmodule de standaard voor RSA te maken. We weten niet of de NSA de achterdeur omvatte, maar Dual_EC_DRBG had er zeker één. Het feit dat de NSA zo volhardend was om deze module in RSA-cryptografie op te nemen, helpt niet het geval van voorkennis.
Fast-forward naar 2015, en nu hebben jullie zowel de Amerikaanse regering als andere overheden over de hele wereld om private bedrijven te vragen backdoors toe te voegen aan hun versleutelingsalgoritmen.
Waarom Backdoors slecht zijn voor iedereen anders
Je hebt misschien al een idee waarom backdoors slecht zijn. Het is een geen-brainer, toch? Het ding is dat er andere ongeziene gevolgen zijn voor het introduceren van backdoors voor encryptie, afgezien van de inbreuk op de privacy door overheidsinstanties.
Allereerst, als een hacker de achterdeur ontdekt (en dat is precies hoe het eerder genoemde Dual_EC_DBRG fiasco begon), kun je bijna garanderen dat iedereen het kan misbruiken om dingen te bekijken die erg privé voor je zijn.
De tweede reden waarom backdoors vreselijk zijn, kan het beste worden uitgedrukt in de vorm van een vraag: weet je dat niet alleen de overheid, maar ook John Doe, je privégegevens kan bekijken, zou je ooit nog ergens een account openen? Mensen vertrouwen nu op technologie omdat ze erop vertrouwen. Elimineer het vertrouwen en u zult zeer weinig klanten op de zakelijke markt tegenkomen. Ja, consumenten kunnen nog steeds gecodeerde en verbonden technologieën gebruiken, maar bedrijven gaan zich massaal afmelden. Veel van onze favoriete fabrikanten zijn sterk afhankelijk van hun business-to-business klantenbases.
Dus dit idee is niet alleen slecht voor de consument, maar ook slecht voor de bedrijfsresultaten die ons voorzien van de dingen waar we van houden. Daarom zijn reuzen als Apple en Google zo bezorgd over dit beleid.
Wat denk jij dat we moeten doen? Is een eventuele wet hierover zelfs afdwingbaar? Vertel ons in een reactie!