Die Rede über Hintertoors in verschlüsselten Diensten macht erneut die Runden, nachdem Berichte aufgetaucht sind, dass die britische Regierung Apple zwingen möchte, das Backup-Angebot von ICloud zu eröffnen. Die Beamten lehnten sich an Apple, um eine „Hintertür“ im Dienst zu erstellen, mit dem staatliche Akteure im Klaren zugreifen können.
Das Vereinigte Königreich hatte umfassende Befugnisse, um die Verwendung einer starken Verschlüsselung durch die Technologieunternehmen zu begrenzen, da ein Update 2016 für die staatlichen Überwachungsbefugnisse weitergegeben wurde. Nach Berichterstattung durch die Washington PostIn den britischen Beamten haben die Investigatory Powers Act (IPA) die Nachfrage auf Apple gestellt. Sie suchen nach „pauschalen“ Zugriff auf Daten, die der ICLOUD Advanced Data Protection (ADP) -Dienst (ADP) zum Schutz vor dem Zugriff von Drittanbietern, einschließlich Apple selbst, geschützt ist.
Die technische Architektur des ADP-Dienstes von Apple wurde so gestaltet, dass selbst der Tech-Riese keine Verschlüsselungsschlüssel innehatte-dank der Verwendung der End-to-End-Verschlüsselung (E2EE)-und es Apple ermöglicht, zu versprechen, dass es „null Wissen“ hat der Daten seiner Benutzer.
Eine Hintertür ist ein Begriff, der normalerweise bereitgestellt wird, um eine geheime Sicherheitsanfälligkeit zu beschreiben, die in den Code eingefügt wurde, um Sicherheitsmaßnahmen zu umgehen oder auf andere Weise zu untergraben, um Dritte zu ermöglichen. Im iCloud -Fall ermöglicht die Bestellung den britischen Geheimdiensten oder Strafverfolgungsbehörden, Zugriff auf die verschlüsselten Daten der Benutzer zu erhalten.
Während die britische Regierung sich routinemäßig weigert, Berichte über im IPA herausgegebene Mitteilungen zu bestätigen oder zu verweigern außerhalb des Vereinigten Königreichs.
Sobald eine Anfälligkeit in der Software besteht Auch für die Bereitstellung von Ransomware.
Dies könnte erklären, warum die vorherrschende Phrasierung, die in staatlich gesteuerten Versuchen verwendet wird, Zugang zu E2EE zu erhalten, diese visuelle Abstraktion einer Hintertür ist. nach einem frage Verwundbarkeit zu sein absichtlich Um zu Code hinzugefügt, macht die Kompromisse klarer.
Um ein Beispiel zu verwenden: Wenn es um physische Türen geht – in Gebäuden, Wänden oder dergleichen – ist es nie garantiert, dass nur der Eigentümer oder der Schlüsselinhaber der Immobilie ausschließlich diesen Eintrittspunkt verwendet wird.
Sobald eine Öffnung vorhanden ist, schafft sie ein Potenzial für den Zugang – beispielsweise kann jemand eine Kopie des Schlüssels erhalten oder sich sogar dazu zwingen, die Tür nach unten zu zerbrechen.
Fazit: Es gibt keine perfekt selektive Tür, die existiert, damit nur eine bestimmte Person durchlaufen werden kann. Wenn jemand eingeben kann, folgt logischerweise, dass möglicherweise auch jemand anderes die Tür benutzen kann.
Das gleiche Zugriffsrisikoprinzip gilt für Schwachstellen, die Software (oder in der Tat Hardware) hinzugefügt haben.
Das Konzept von Nobus („Niemand außer uns“) Hintertüren wurden in der Vergangenheit von Sicherheitsdiensten geschwächt. Diese bestimmte Art von Hintertür beruht normalerweise auf einer Einschätzung ihrer technischen Fähigkeiten, um eine bestimmte Sicherheitsanfälligkeit auszunutzen, die allen anderen überlegen ist-im Wesentlichen eine scheinbar mehr sichere Hintertür, die nur ausschließlich von ihren eigenen Agenten zugegriffen werden kann.
Aber von Natur aus ist technologische Fähigkeiten und Fähigkeiten eine bewegliche Leistung. Die Bewertung der technischen Fähigkeiten unbekannter anderer ist auch kaum eine genaue Wissenschaft. Das Konzept „Nobus“ befindet sich auf bereits fragwürdigen Annahmen; Jeder Zugang von Drittanbietern schafft das Risiko, neue Angriffsanfälle zu eröffnen, wie z.
Es ist nicht überraschend, dass viele Sicherheitsexperten Nobus als grundlegend fehlerhafte Idee abweisen. Einfach ausgedrückt, jeder Zugang schafft ein Risiko. Daher ist das Drängen auf Hintertoors gegen starke Sicherheit.
Unabhängig von diesen klaren und gegenwärtigen Sicherheitsbedenken drängen die Regierungen jedoch weiterhin auf Hintertüren. Deshalb müssen wir immer wieder über sie sprechen.
Der Begriff „Backdoor“ impliziert auch, dass solche Anfragen eher heimlich als öffentlich sein können-ebenso wie Hintertoors keine Einstiegspunkte für die Öffentlichkeit. In Apples iCloud -Fall kann eine Anfrage zur Kompromissverschlüsselung unter der britischen IPA – durch einen „technischen Fähigkeitshinweis“ oder TCN – vom Empfänger nicht gesetzlich bekannt gegeben werden. Die Absicht des Gesetzes ist, dass solche Hintertüren von Design geheim sind. (Die Verlauf von Details eines TCN an die Presse ist ein Mechanismus zum Umgang mit einem Informationsblock. Es ist jedoch wichtig zu beachten, dass Apple noch keine öffentlichen Kommentare zu diesen Berichten abgeben muss.)
Nach Angaben der Rechtegruppe die Elektronische Frontier FoundationDer Begriff „Backdoor“ stammt aus den 1980er Jahren, als Backdoor (und „Trapdoor“) verwendet wurden, um auf geheime Konten und/oder Passwörter zu verweisen, die erstellt wurden, damit jemand einen unbekannten Zugriff auf ein System ermöglicht. Im Laufe der Jahre wurde das Wort jedoch verwendet, um eine breite Palette von Versuchen zu kennzeichnen, die durch Verschlüsselung ermöglichte Datensicherheit zu verschlüsseln, zu umgehen oder auf andere Weise zu beeinträchtigen.
Während die Hintertoors wieder in den Nachrichten sind, ist es wichtig, dass der Datenzugriffszugriff auf die Verschleimung von iCloud -Backups von Apple nach dem Anforderungen von Daten zurückzuführen ist.
In den neunziger Jahren entwickelte beispielsweise die US National Security Agency (NSA) verschlüsselte Hardware für die Verarbeitung von Sprach- und Datennachrichten, die eine Backdoor in sie eingebacken hatten – mit dem Ziel, den Sicherheitsdiensten verschlüsselte Kommunikation abzufangen. Der „Clipper -Chip“ verwendete, wie bekannt wurde, ein System mit Schlüsseltreuer – was bedeutet, dass ein Verschlüsselungsschlüssel von Regierungsbehörden erstellt und gespeichert wurde, um den Zugriff auf die verschlüsselten Daten zu erleichtern, wenn die staatlichen Behörden wollten.
Der Versuch der NSA, Chips mit eingebackenen Hintertooren zu vergrößern, scheiterten wegen mangelnder Adoption nach einer Sicherheits- und Privatsphäre. Obwohl dem Clipper -Chip dazu zugeschrieben wird, dass die Bemühungen der Kryptologen zur Entwicklung und Verbreitung einer starken Verschlüsselungssoftware aufgebaut werden, um Daten gegen die Übersteuerung der Regierung zu sichern.
Der Clipper -Chip ist auch ein gutes Beispiel dafür, wo ein Versuch, den Zugriff auf den System zu ergreifen, öffentlich durchgeführt wurde. Es ist erwähnenswert, dass Hintertüren nicht immer geheim sein müssen. (Im iCloud -Fall Großbritanniens wollten die staatlichen Agenten eindeutig Zugriff erhalten, ohne dass Apple -Benutzer dies wissen.)
Fügen Sie dazu hinzu, dass Regierungen häufig emotionale Propaganda für Forderungen einsetzen, um auf Daten zuzugreifen, um die Unterstützung der Öffentlichkeit zu beeinträchtigen und/oder Druck auf Dienstleister auszuüben, um sie einzuhalten – beispielsweise durch den argumentierten Zugang zu E2EE erforderlich, um Kindesmissbrauch oder Terrorismus zu bekämpfen, oder Terrorismus , oder verhindern Sie ein anderes abscheuliches Verbrechen.
Hintertüren können jedoch eine Möglichkeit haben, zurückzukehren, um ihre Schöpfer zu beißen. Zum Beispiel standen in China unterstützte Hacker im vergangenen Herbst hinter dem Kompromiss der von der Bundesversammlung beauftragten Abhörsysteme-offenbar Zugang zu Daten von Nutzern von US-Telkos und ISPs dank eines 30-jährigen Bundesgesetzes, das den Backdoor-Zugang vorgeschrieben hatte (wenn auch, wenn auch, jedoch (wenn auch In diesem Fall unterstreicht es von Nicht-E2EE-Daten), die Risiken des absichtlichen Backens von Zugriffspunkten in Systeme zu unterstreichen.
Die Regierungen müssen sich auch Sorgen machen, dass ausländische Hintertüren Risiken für ihre eigenen Bürger und die nationale Sicherheit schaffen.
Im Laufe der Jahre wurden mehrere Fälle von chinesischen Hardware und Software vermutet, dass Hintertoors im Laufe der Jahre Hintertoors beherrscht wurden. Bedenken hinsichtlich der potenziellen Risiken im Hintertür führten dazu, dass einige Länder, einschließlich Großbritanniens, in den letzten Jahren Schritte zur Entfernung oder Begrenzung chinesischer Technologieprodukte, wie beispielsweise in kritischen Telekommunikationsinfrastrukturen verwendet, entfernen oder begrenzt. Auch Ängste vor Hintertooren können auch ein starker Motivator sein.