четвртак, 25 априла, 2024
Интернет, мреже и комуникацијеЧасопис

Крипто-ратови: Некада и сада (2. део)

NZT

Аутор: Петар Симовић

Клипер чип

Америчка национална сигурносна агенција (НСА) се није зауставила само на слабљењу софтвера, него је прешла и на хардвер, тачније чипове и процесоре. Ово је и разумљиво јер су прву битку за софтвер и алгоритме свакако добили активисти и сајферпанкери, а производња хардверских компоненти неопходних за генерисање криптографских кључева је била у власништву великих компанија подложних утицају државе и тајних служби.clipperchip1 Клипер чип (енг. Clipper Chip) је био пројекат НСА агенције деведесетих година прошлог века да се у мобилне телефоне угради чип намењен за шифровање звучне комуникације.Проблем је у томе што би тајни кључ одређивао произвођач чипа и тајно га прослеђивао НСА која је и дизајнирала алгоритам по коме би радио Клипер чип и који је такође био тајна. На овај начин НСА би без икаквог труда једноставно дешифровала сву телефонску шифровану комуникацију јер је знала тајне кључеве сваког уређаја. Влада је у сарадњи са НСА покушала да примора све телефонске компаније да уграде овај чип у своје телефоне, али то није успело, а и Мат Блејз (енг. Matt Blaze) је успео да провали и заобиђе овај систем 1994. Ако овде застанемо јер је већ почео двадесет и први век, можемо рећи да су први крипто-ратови добијени, али ратови се настављају и даље, само мало неприметније. НСА је наставила да обогаљује криптографске протоколе и уграђује специјалне чипове у хардвер.

РДРАНД

НСА је касније подривала сигурност криптографије на нижим нивоима. Већина софтвера која је имплементирала неку криптографију је била отвореног кода и доступна за проверу свакога које то желео да уради. Такав пример је рецимо Оупн-Ес-Ес-Ел (енг. OpenSSL) који имплементира најјачу познату криптографију и масовно се користи на серверима за сигурну комуникацију коришћењем симетричног, асиметричног шифровања и криптографских хеш (енг. Hash) алгоритама за аутентикацију. Оупн-Ес-Ес-Ел се ослања на друге системске програме за генерисање „насумичних” бројева који су потребни за прављење сигурних тајних кључева, а баш то је и место које је НСА напала како би овај протокол учинила мање сигурним. Ради се о генератору насумичности (Rd_Rand, https://en.wikipedia.org/wiki/RdRand ) унутар Инетлових процесора који враћа псеудо случајне бројеве, а за кога је почело да се сумња од 2013 године да је модификован како не би враћао „насумичне” бројеве, већ бројеве који се могу лакше предвидети. Ова тема створила је поделу и унутар Линукс заједнице, јер је Линус Торвалдс одбацио сумње у нарушавање безведности, док је Фри-Би-Ес-Ди престао да користи сумњиви генератор у језгру свог оперативног система (извори: https://goo.gl/LjHNYV https://goo.gl/WsBHg3 )

Dual_EC_DRBG

Када смо већ код генератора „насумичних” бројева, Dual_EC_DRBG је алгоритам за креирање „насумичних” бројева за елиптичке криве (енг. Eliptic Curves). Елиптичке криве се користе за генерисање асиметричних кључева исте сигурности али мање величине него РСА, и данас су најзаступљеније за успостављење сигурне комуникације на интернету тј. унутар ХТТПС протокола који свакодневно користимо.Као што можете претпоставити овај алгоритам (Dual_EC_DRBG) је конструисала НСА и предложила га Америчком Националном институту за стандарде и технологију (енг. National Institute of Standards and Technology, NIST), који бива усвојен и од овог института и од других релевантних сигурносних компанија као сигуран алгоритам. Наравно, од самог појављивања овог сумњивог алгоритма, почеле су бројне публикације које су указивале да је алгоритам несигуран и то вероватно намерно – бекдорован (енг. Backdoor) (https://goo.gl/vQuHLL ,http://goo.gl/8EJp12 ). Несигурност алгоритма је потвђена и документима које је Едвард Сноуден (енг. Edward Snowden) изнео у јавност и који су објављени 2013. године кроз тајни програм под кодним називом Булран (енг. Bullrun) озлоглашене НСА. Булран је само један у низу оваквих тајних програма који спроводи НСА како би на све начине слабила и дешифровала сву заштићену комуникацију фајлове (https://goo.gl/aauXwb). Прошле године (2015.) је објављено да је Dual_EC_DRBG био такође присутан у СкринОС (енг. ScreenOS) оперативном систему (енг. firmware) популарног фајрвола (енг. firewall) система НетСкрин (енг. NetScreen) ( https://en.wikipedia.org/wiki/Dual_EC_DRBG#cite_note-5 )

nsa_dual

У документима које је Сноуден изнео у јавност, помоћу разних медија и Викиликса, види се да је НСА наставила да уграђује хардверске импланте у матичне плоче сервера, у-ес-бе-ова и других каблова. Да ствар буде гора, ово су радили преесрећући пошиљке, намењене одређеним особама, са купљеним исправним хардвером у које су на тајним локацијама уграђивали и подметали своје импланте. Ово је лепо документовано следећим видео материјалима господина Апелбаума (енг. Jacob Appelbaum) са једне ЦЦЦ конференције: https://goo.gl/GwC8s9 и https://goo.gl/Ymv2Gb.

Претходни део овог серијала можете да прочитате овде.

Наредни део овог серијала можете да прочитате овде.