Mit złotego klucza

Mit złotego klucza

Szef chicagowskiej policji nazywa iPhone'a telefonem dla pedofilów, zaś szefowie innych służb domagają się złotego klucza, który pozwoli (w domyśle: dobrym, uczciwym rządom) dobierać się do każdego telefonu na Ziemi, o którym im się zamarzy.

Złoty klucz

Niedługo po tekście z szefem policji mówiącym o iPhonie dla pedofilów, redakcja Washington Post opublikowała artykuł Compromise needed on smartphone encryption, w którym nawoływała do (rzekomo) rozsądnego kompromisu.

Sednem ich wywodu było stwierdzenie, że:

  • policja (oczywiście wyposażona w nakaz sądu) musi mieć możliwość nieskrępowanego dostępu do zawartości telefonów
  • trzeba też znaleźć sposób na zabezpieczenie tejże zawartości przed ingerencją niepowołanych, przestępczych czynników

Narracja Washington Post jest pozornie niezwykle rozsądna:

This is not about mass surveillance. Law enforcement authorities are not asking for the ability to surveil everyone’s smartphone, only those relatively few cases where there is a court-approved search warrant. This seems reasonable and not excessively intrusive. After all, the government in many other situations has a right — and responsibility — to set standards for products so that laws are followed. Why not smartphones? Moreover, those worried about privacy can take solace from the Supreme Court’s decision in June in Riley v. California, which acknowledged the large amount of private information on smartphones and said a warrant is generally required before a search.

Jakie jest rozwiązanie i ów tytułowy kompromis proponowany przez Washington Post?

How to resolve this? A police “back door” for all smartphones is undesirable — a back door can and will be exploited by bad guys, too. However, with all their wizardry, perhaps Apple and Google could invent a kind of secure golden key they would retain and use only when a court has approved a search warrant. Ultimately, Congress could act and force the issue, but we’d rather see it resolved in law enforcement collaboration with the manufacturers and in a way that protects all three of the forces at work: technology, privacy and rule of law.

W rzeczywistości eksperci bezpieczeństwa są raczej jednoznaczni w ocenie, że taki złoty klucz jest niczym innym jak właśnie niebezpiecznym backdoorem. Washington Post nie tylko sugeruje, by wprowadzić taki backdoor, ale jeszcze dorzuca niemą groźbę, zgodnie z którą, jeśli Apple i Google dobrowolnie nie wprowadzą stosownych zmian, powinny być do tego zmuszone ustawą Kongresu.

A to znaczy, drogi czytelniku, że jeden z największych amerykańskich dzienników wprost sugeruje, że także i ty powinieneś być wystawiony na żer przestępców i cyberwłamywaczy. Wszystko dla dobra amerykańskiej policji.

Pozostaje nam kilka kwestii do wyjaśnienia: jak działa wprowadzane przez Apple szyfrowanie, czemu proponowany przez Washington Post złoty klucz to tylko ładna nazwa dla skrajnie niebezpiecznego backdoora oraz czemu pomysł ten jest zły.

Jak działa kryptografia – wprowadzenie dla bardzo żółtych żółtodziobów

Szyfrowanie ma na celu zabezpieczenie danych. Polega to na tym, że mając pewne dane i tak zwany algorytm szyfrujący, zmieniasz je w niezrozumiały bełkot, który czyni się zrozumiałym tylko w przypadku, gdy do jego odczytu znowu zastosujesz właściwy algorytm:

Algorytm szyfrujący to reguła, która w jednoznaczny sposób przekształca szyfrowane dane. Może to być na przykład taka reguła: zastąp każdą literę lub cyfrę następnym znakiem w alfabecie, chyba, że jest to ostatni znak w alfabecie, wtedy zastąp go pierwszym.

Reguła taka zastąpi każde „a” za pomocą „b”, każde „m” za pomocą „n”, każde „9” za pomocą „0”. Nazwa tego bloga, tak zaszyfrowana brzmiałaby „róćióeńę lógęjńz”:

To bardzo prosta, prymitywna, w praktyce bezużyteczna forma szyfrowania, ale pozwala zrozumieć zasadę działania kryptografii. W praktyce szyfrowanie wykorzystuje reguły, które oprócz szyfrowanej treści potrzebują dodatkowego ciągu znaków, tak zwanego klucza, który jest wykorzystywany jako składnik matematycznych, ujętych algorytmem przekształceń w procesie szyfrowania:

Same reguły mogą być jawne, dla skuteczności szyfrowania niejawne muszą pozostać klucze (pomijam tutaj istotne rozróżnienie na symetryczne i asymetryczne metody szyfrowania, bo nie będzie nam to potrzebne do zrozumienia dalszych wywodów, dodam tylko, że w asymetrycznych wykorzystuje się obok kluczy niejawnych klucze jawne).

Klucze są siłą i słabością kryptografii. Długie, nieprzypominające rzeczywistych słów klucze są bezpieczniejsze (ich zgadnięcie wymaga tak wielu prób, że nawet najpotężniejsze komputery muszą trawić lata na sprawdzenie wszystkich kombinacji). Jeśli jako klucze kryptograficzne wykorzystywane są hasła wymyślane przez ludzi, zwykle stanowią one słabsze zabezpieczenie, gdyż ludzie nie są w stanie zapamiętywać przypadkowych i długich kombinacji znaków.

Krótsze kombinacje znaków z kolei łatwo złamać za pomocą odpowiednio silnych komputerów. Dlatego urządzenie, które do szyfrowania jako klucz wykorzystuje wymyślone przez użytkowników hasło, jest względnie łatwe do odszyfrowania. Wystarczy przenieść jego zawartość na odpowiednio potężny komputer i tam złamać je metodą prób i błędów.

W następnej części notki wytłumaczę w jaki sposób Apple zmniejszyło ryzyko takiego scenariusza (wersja tl;dr: hasło użyte do zablokowania iPhone’a i działające jako klucz kryptograficzny może być odgadnięte wyłącznie za pomocą programu działającego na tym iPhonie; a ponieważ nie jest to szczególnie potężny komputer, zaś operacje kryptograficzne są na nim sprzętowo spowolnione, nawet złamanie haseł stworzonych przez ludzi zajmuje dużo czasu).

Jak działa szyfrowanie wprowadzone przez Apple?

Wydany niedawno system operacyjny iOS 8 posiada funkcję pełnego szyfrowania zawartości telefonu (lub iPada), na którym jest zainstalowany. Dodatkowo, na nowszych urządzeniach wykorzystuje on kilka sprytnych zabezpieczeń sprzętowych, które czynią wysoce niepraktyczną próbę złamania tych szyfrów.

Apple tłumaczy to w swoim dokumencie o bezpieczeństwie (strona 10), rysując taki schemat zabezpieczeń danych (poniżej jest moja zmodyfikowana wersja):

Dostęp do danych na urządzeniach z iOS 8 można sobie wyobrazić jako strzeżony szeregiem zamykanych na klucze pudełek. Pudełka to oczywiście metafora szyfrowania (na schemacie wyżej symbolizuje je kłódka). Pudełka można otworzyć posiadając odpowiednie klucze.

Prawie każdy plik w systemie iOS zamknięty jest w osobnym pudełku, do otwarcia którego potrzeba klucza pliku. Klucz ten jednak schowany jest w innych pudełkach (które są schowane jedno w drugie), otwieranych przez jeszcze inne klucze.

Całość jest dość skomplikowana, co umożliwia:

  • kontrolę nad tym czy i jak są szyfrowane poszczególne pliki
  • szybkie i/lub zdalne wymazywanie zawartości urządzenia
  • praktyczną niemożność przeprowadzenia wymuszonego deszyfrowania poza urządzeniem, na którym włączono szyfrowanie

By było to łatwiej zrozumieć, uprościmy schemat powyżej i zobaczymy co jest podstawą względnej skuteczności kryptografii zastosowanej na najnowszych iPhone’ach:

Szybkie i zdalne wymazywanie możliwe jest dzięki istnieniu klucza systemu plików. Na włączonym iPhonie ten klucz jest przechowywany w formie niezaszyfrowanej, ale to nie szkodzi, bo nie służy on zabezpieczaniu danych jako takiemu, tylko ich bezpiecznemu wymazywaniu. Klucz ten można skasować, w konsekwencji uniemożliwiając dostęp do żadnych plików na urządzeniu (po wymazaniu klucza urządzenie ulega automatycznemu restartowi, bez obecnego klucza nie jest w stanie po takim restarcie odszyfrować danych o systemie plików, a więc odczytać żadnych wcześniej zapisanych danych). Owo wymazanie można wymusić przez sieć lub ustawić tak, by zachodziło automatycznie po 10 nieudanych próbach odblokowania urządzenia kodem dostępu.

Kod dostępu, używany do odblokowania urządzenia, jest podstawą bezpieczeństwa zależną od użytkownika. Może być prosty (w formie czterocyfrowego PIN-u), albo bardziej złożony (jako dowolnie długie hasło alfanumeryczne).

Jest dość oczywistym, że ze względów praktycznych te kody nie będą bardzo skomplikowane. Względnie nieskomplikowane, ale używalne dla ludzi kody jest dziś bardzo łatwo złamać przy pomocy sprzętu wykorzystywanego przez policję i przestępców, czyli wyspecjalizowanych komputerów deszyfrujących wyposażonych w potężne moce obliczeniowe pozwalające szybko odgadywać nieznane kombinacje.

Nie da się ich użyć do złamania kodów dostępu do nowych iPhonów. Oto dlaczego. Otóż w szyfrowaniu urządzenia te niejako splatają kod dostępu użytkownika z fabrycznym kluczem urządzenia. Klucz ten osadzony jest sprzętowo i nie da się go odczytać. Ponieważ odgadnięcie kodu dostępu użytego przez użytkownika wymaga posiadania klucza urządzenia, zaś klucz ten można wykorzystać w deszyfrowaniu tylko przy pomocy samego urządzenia, jedyny sposób by siłą odgadnąć kod dostępu polega na użyciu urządzenia, na którym spleciono ten kod ze stosownym unikalnym kluczem urządzenia.

Zalety takiego rozwiązania? iPhone jest całkiem mocnym komputerem osobistym, ale nie jest aż tak potężny by szybko rozłamać nawet krótkie, kilku znakowe kody. Ponadto, układ kryptograficzny w którym osadzony jest unikalny klucz urządzenia jest tak zaprojektowany, że celowo spowalnia operacje kryptograficzne.

Efekt? Jeśli użytkownik ustawi sobie na przykład sześcioznakowy kod dostępu i ktoś przechwyci jego telefon, nawet po zainstalowaniu stosownego oprogramowania złamanie tegoż kodu zajęłoby prawdopodobnie kilka lat.

Co w praktyce oznacza, że to szyfrowanie jest bezpieczne.

Chcesz wiedzieć więcej?

Jako laik w tych kwestiach mogłem gdzieś mocno namieszać (nie mówiąc o intencjonalnie wprowadzonych uproszczeniach). Jeśli chcecie coś doczytać, polecam wskazane źródła (są ułożone w porządku rosnącego skomplikowania):

Dlaczego koncepcja złotego klucza jest nierozsądna?

Teraz możemy wrócić do koncepcji złotego klucza Washington Post, który jakimś cudownym sposobem miałby być niedostępny dla przestępców i policji złych krajów, ale dostępny dla dobrych ludzi i słusznej policji dobrych krajów.

Najbardziej groteskowym konceptem w tej propozycji jest rozróżnienie między backdoorem i złotym kluczem. Jeśli mamy dobrze zaprojektowany system kryptograficzny, wprowadzenie doń modyfikacji, która pozwala ominąć zabezpieczenia jest z definicji backdoorem.

Rozkoszne uwagi, że Apple (czy Google) mają dostępną, tu cytuję, technologiczną magię, która pozwoliłaby stworzyć backdoor działający dla policji, ale nie działający dla przestępców, są nonsensem.

W opisanym wyżej systemie klucz urządzenia jest nie do pozyskania, jako zapisany sprzętowo. Sparowany z kodem dostępu użytkownika sprawia, że ten drugi może być rozłamany tylko na urządzeniu, na którym się go używa,

Złoty klucz, czymkolwiek by był, musiałby naruszać tę konstrukcję, dawać dodatkowe dojście (właśnie to nazywamy backdoorem) do całej tej kryptografii, które pozwalałoby je ominąć.

Ale jaki sens w ogóle wtedy projektować taki system, skoro z definicji ma być one nieskuteczny i łatwy do obejścia (oczywiście, tylko dla tych dobrych)?

Kogo chroni bezpieczna kryptografia?

Idee Washington Post pięknie wyszydziło Wired:

The paper doesn’t explain why this “golden key” would be less vulnerable to abuse than any other backdoor. Maybe it’s the name, which seems a product of the same branding workshop that led the Chinese government to name its Internet censorship system the “golden shield.” What’s not to like? Everyone loves gold!

Wired przypomniało także, że podobna do obecnej dyskusja toczyła się w latach 90 zeszłego wieku, gdy pojawiły się pierwsze duże użytkowe systemy kryptograficzne (mówi się w tym kontekście o kryptowojnach). Wtedy także pojawili się ludzie żądający, by amerykańskie firmy wprowadziły tak zwane trapdoory, które odpowiednim służbom (w tym NSA) pozwalałaby na łatwe łamanie zastosowanych kryptografii (ci ludzie to była administracja Clintona, wiwat demokraci!).

Wtedy wygrały argumenty pragmatyczne: takie trapdoory mogłyby być łatwo nadużyte przez odpowiednio sprawnych przestępców. Albo skorumpowanych funkcjonariuszy. Wreszcie sprawiłyby, że amerykańskie firmy siłą rzeczy przegrałyby konkurencję z zagranicznymi, które nie byłyby zobligowane do celowego osłabiania kryptografii.

Wired zwraca także uwagę na oderwanie Washington Post od prawnych, technologiczny i praktycznych realiów:

Implicit in the Post’s argument is the notion that the existence of the search warrant as a legal instrument obliges Americans to make their data accessible: that weakening your crypto is a civic responsibility akin to jury duty or paying taxes. “Smartphone users must accept that they cannot be above the law if there is a valid search warrant,” writes the Post.

This talking point, adapted from Comey’s press conference, is an insult to anyone savvy enough to use encryption. Both Windows and OS X already support strong full-disk crypto, and using it is a de facto regulatory requirement for anyone handling sensitive consumer or medical data. For the rest of us, it’s common sense, not an unpatriotic slap to the face of law and order.

This argument also misunderstands the role of the search warrant. A search warrant allows police, with a judge’s approval, to do something they’re not normally allowed to do. It’s an instrument of permission, not compulsion. If the cops get a warrant to search your house, you’re obliged to do nothing except stay out of their way. You’re not compelled to dump your underwear drawers onto your dining room table and slash open your mattress for them. And you’re not placing yourself “above the law” if you have a steel-reinforced door that doesn’t yield to a battering ram.

Silne szyfrowanie przede wszystkim chroni uczciwych ludzi, nie przestępców.

Złoty klucz dla przestępców

Za to każdy backdoor, nawet pięknie nazwany, to zaproszenie dla przestępczej działalności. Przykłady takowych wymienia ekspert bezpieczeństwa Bruce Schneier, w tym między innymi:

Schneier zwraca także uwagę, że straszenie falą nieukaranych przestępstw, która ma być konsekwencją skutecznego szyfrowania telefonów, jest oderwane od rzeczywistości:

This doesn't stop the FBI and Justice Department from pumping up the fear. Attorney General Eric Holder threatened us with kidnappers and sexual predators.

The former head of the FBI's criminal investigative division went even further, conjuring up kidnappers who are also sexual predators. And, of course, terrorists.

FBI Director James Comey claimed that Apple's move allows people to "place themselves beyond the law" and also invoked that now overworked "child kidnapper." John J. Escalante, chief of detectives for the Chicago police department now holds the title of most hysterical: "Apple will become the phone of choice for the pedophile."

It's all bluster. Of the 3,576 major offenses for which warrants were granted for communications interception in 2013, exactly one involved kidnapping. And, more importantly, there's no evidence that encryption hampers criminal investigations in any serious way. In 2013, encryption foiled the police nine times, up from four in 2012­ -- and the investigations proceeded in some other way.

This is why the FBI's scare stories tend to wither after public scrutiny. A former FBI assistant director wrote about a kidnapped man who would never have been found without the ability of the FBI to decrypt an iPhone, only to retract the point hours later because it wasn't true.

We've seen this game before. During the crypto wars of the 1990s, FBI Director Louis Freeh and others would repeatedly use the example of mobster John Gotti to illustrate why the ability to tap telephones was so vital. But the Gotti evidence was collected using a room bug, not a telephone tap. And those same scary criminal tropes were trotted out then, too. Back then we called them the Four Horsemen of the Infocalypse: pedophiles, kidnappers, drug dealers, and terrorists. Nothing has changed.

Na koniec jeszcze kwestia ingerencji obcych rządów (choć z punktu widzenia Polaka to właśnie między innymi kwestia ingerencji własnego rządu). Firma BlackBerry (kiedyś RIM) oferowała swego czasu bezpieczne, szyfrowane serwisy komunikacyjne na swoich telefonach. Ale w przeciwieństwie do Apple, które klucze do szyfrowania iPhonów oddaje w ręce użytkowników, BlackBerry posiadało wszystkie klucze kryptograficzne niezbędne do deszyfrowania teoretycznie bezpiecznych przekazów.

Efekt? Kilka lat temu indyjski rząd zmusił firmę do umożliwienia dostępu do rzekomo bezpiecznych transmisji wykonywanych przez jej serwisy. Jeśli firma produkująca jakieś urządzenie lub gadżet zostawi sobie klucze kryptograficzne, możecie być pewnie, że informacje te prędzej czy później wpadną w niepowołane ręce.

Nawiasem mówiąc, choć nowe iPhone’y dają możliwość skutecznego szyfrowania danych, które są na nich zapisane, żadna firma, włącznie z Apple, nie udostępnia równie skutecznego szyfrowania dla danych w chmurze. Wręcz przeciwnie, jak to ujął w tytule artykuł z The InterceptApple Still Has Plenty Of Your Data For The Feds.

Wnioski

Większość cytowanych tu artykułów zgadza się co do jednego: kompleksowy system szyfrowania jaki wprowadziło Apple jest od dawna spóźnionym rozwiązaniem niezbędnym z punktu widzenia bezpieczeństwa danych. Nie tylko każda inna firma powinna zrobić coś podobnego (Google już robi), ale powinniśmy domagać się analogicznych zabezpieczeń dla naszych danych w chmurze. I nie dawajmy się straszyć opowieściami o szalejącej przestępczości. To ten sam straszak, doszczętnie zużyty i kłamliwy, co zawsze.

Jeśli ta notka wydała ci się rozsądna lub pouczająca, polubienie bloga na Facebooku pozwoli ci otrzymywać powiadomienia o podobnych.

Najciekawsza roślina kwiatowa świata

Najciekawsza roślina kwiatowa świata

Dawno zaginieni kuzyni?

Dawno zaginieni kuzyni?