ABD'nin Şifrelenmiş Verilere Arka Kapı Yerleştirmeye Çalışmasının Kısa Tarihi (2016)

 (atlasobscura.com)
1 puan yazan GN⁺ 2024-02-04 | 1 yorum | WhatsApp'ta paylaş

ABD'nin şifrelenmiş verilere arka kapı ekleme girişimlerinin kısa tarihi

  • ABD hükümeti ile tüketicilerin teknoloji verilerinin korunması ve hükümetin bilgiye erişim hakkı arasındaki uzun süredir devam eden mücadelede yakın zamanda dramatik bir gelişme yaşandı.
  • 2015 boyunca ABD'li siyasetçiler ve kolluk kuvvetleri, kolluk güçlerinin kimlik doğrulamayı aşarak şüphelilerin verilerine gizlice erişebilmesi için yazılım ve donanıma kriptografik 'arka kapılar' yerleştirilmesi yönünde açıkça lobi yaptı.
  • Siber güvenlik uzmanları, bu tür arka kapıların şifrelemeyi temelden zayıflatabileceği ve suçlular tarafından kötüye kullanılabileceği konusunda görüş birliği içinde.

Şifrelemedeki önemli gelişmeler ve arka kapıların tarihi

  • II. Dünya Savaşı sırasında Nazi iletişimini şifrelemek için kullanılan Enigma makinesi, kriptografi tarihinde önemli bir gelişmeydi.
  • Enigma makinesine bir arka kapı yerleştirildiğine dair söylentiler vardı; ancak BBC'nin araştırmasına göre arka kapı yoktu. Bunun yerine Crypto AG, makinenin teknik özellikleri ve satın alan ülkeler hakkında ABD ve Birleşik Krallık istihbarat kurumlarına bilgi sağlayan bir 'centilmenlik anlaşması' yaptı.
  • 1993'te NSA, 'Clipper Chip'i teşvik etti; ancak araştırmacı Matt Blaze'in 1994'te keşfettiği bir güvenlik açığı nedeniyle bu girişim 1996'da fiilen terk edildi.

Son arka kapı girişimleri ve hükümetlerin tepkisi

  • NSA'in Dual_EC_DRBG algoritmasına bir arka kapı yerleştirdiği ortaya çıktı; bu algoritma 2007'de rastgele sayı üretecinin resmî standardı olarak yayımlanmıştı.
  • Hollanda hükümeti arka kapı kullanımını reddedip açık şifreleme standartlarını destekleme kararı aldı; Fransa da Paris terör saldırılarına tepki olarak arka kapıları zorunlu kılmayı reddetti.
  • Apple v. FBI davası mahkemelerde ilerlerken, NSA'in şifrelemeyi etkisizleştirmeye yönelik gizli çabalarının sürmesi bekleniyor.

GN⁺ görüşü

  • Bu yazı, ABD hükümetinin şifrelenmiş verilere arka kapı yerleştirme girişimlerinin tarihine genel bir bakış sunarak kişisel mahremiyet ile ulusal güvenlik arasındaki süregelen gerilimi gösteriyor.
  • Siber güvenlik uzmanları ile teknoloji sektörünün bu tür arka kapılara neden karşı çıktığına ve bunların gerçekten şifrelemeyi zayıflatıp zayıflatamayacağına dair içgörü sunuyor.
  • Apple v. FBI gibi büyük hukuk davalarının, kişisel mahremiyet ve veri güvenliği etrafındaki tartışmalarda bundan sonra da önemli bir rol oynayacağını ima ediyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-02-04
Hacker News görüşleri

  • ITAR düzenlemelerine dair bir not:

    • ITAR düzenlemeleri, Phil Zimmerman'ın PGP 128 bit şifreleme teknolojisini ihraç etmesini engelledi.
    • Zimmerman ve MIT Press, kaynak kodunu bir kitap olarak yayımlayarak bunu Birinci Değişiklik kapsamında koruma altına aldı; böylece yurt dışında OCR ile okunup yeniden derlenmesi mümkün oldu.
    • ITAR sayesinde Güney Afrika merkezli Thawte, ABD dışındaki bölgelerde 128 bit SSL sertifikası satışında tekel konumuna geldi.
    • Thawte, Verizon tarafından 600 milyon dolara satın alındı ve kurucusu Mark Shuttleworth bu parayla astronot oldu ve Ubuntu'yu kurdu.

  • Crypto AG hakkında yeni bilgi:

    • 11 Şubat 2020'de Washington Post, ZDF ve SRF, Crypto AG'nin CIA ile Batı Almanya istihbarat teşkilatının gizli ortaklığı tarafından sahiplenildiğini ve bu kurumların şifreli mesajları kolayca çözebildiğini ortaya çıkardı.

  • 2016 tarihli makalenin arka planı:

    • 2015 San Bernardino saldırısından sonra FBI, saldırganın iPhone'una erişmeye çalıştı ve Apple, FBI'ın tüm iPhone'lara keyfi firmware/uygulama/OS yükleyebilecek bir sertifika talebine direndi.

  • SHA algoritmasının kökenine dair merak:

    • Bir kullanıcı, SHA-0 hakkında bilgi almak için NSA'ya Bilgi Edinme Özgürlüğü Yasası (FOIA) kapsamında başvuru yaptı.
    • NSA'dan bunun pahalıya mal olacağına dair kabaca bir yanıt aldıktan sonra, NSA web sitesine erişimi engellendi.

  • Intel ME ve AMD'nin güvenlik açıkları:

    • Yeni çip kullanan kullanıcılar için Intel ME (veya AMD'deki karşılığı) nedeniyle büyük bir güvenlik deliği bulunuyor ve bu, OS düzeyinde yamalanamıyor.
    • puri.sm bu sorunu çözmek için adımlar atıyor, ancak bunların ne kadar etkili olduğuna dair bilgi net değil.

  • NSA'nın Linux kernel'e eklemeye çalıştığı speck ve simon şifreleme algoritmaları:

    • NSA, speck ve simon şifreleme algoritmalarını Linux kernel'e dahil etmeye çalıştı, ancak Schneier gibi uzmanların eleştirileri sonucunda bunlar sonunda kaldırıldı.

  • ABD'nin şifreleme algoritmaları ihracat politikası:

    • ABD, uzun süre şifreleme algoritmalarını silah olarak değerlendirdi ve ihracatları için silah ihracat lisansı gerekti.
    • ABD hükümeti 56 bit şifrelemenin yeterli olduğunu savunarak, bankaların ve diğer kurumların iletişimlerini DES kullanarak "korumasına" izin verdi.

  • NSA'nın eliptik eğri şifrelemesine dair şüpheler:

    • NSA'nın eliptik eğri şifrelemesindeki seed değerine kendi "magic number"larını yerleştirdiğine dair şüpheler var.

  • Enigma/Crypto AG karışıklığı ve David Kahn'ın ölümü:

    • Makalede Enigma ile Crypto AG karıştırılmıştı, ancak buna pek çok kişi dikkat etmedi.
    • David Kahn'ın ölümünü anmak için bu bilgiyi paylaşmanın uygun olduğu düşünülüyor.