211service.com
Att kringgå kryptering frigör NSA:s händer online
En serie läckor i somras avslöjade att National Security Agency använder nya tolkningar av amerikansk lag för att samla in data i bulk från världens största internetföretag. Nu tyder nya rapporter om NSA:s tekniska kapacitet på att byrån faktiskt kan läsa de flesta onlinekommunikationer utan att gå direkt till tjänsteleverantörer alls.
De New York Times , med hänvisning till dokument som läckt ut av den tidigare NSA-entreprenören Edward Snowden, rapporterar att NSA har kringgått eller knäckt mycket av krypteringen som används på nätet. Sådana möjligheter skulle kunna kombineras mycket kraftfullt med den åtkomst som byrån är känd för att ha till trafik som tillhandahålls av Internetleverantörer och stora internationella telekommunikationskablar.
Detta tyder på att de inte längre behöver gå till, säg, Google; de kan dekryptera data från AT&T eller använda sin egen infrastruktur, till exempel på undervattenskablar, säger Dan Auerbach, en personaltekniker med Electronic Frontier Foundation .
NSA:s användning av dess övervakningskapacitet begränsas av amerikansk lag, som förbjuder övervakning av amerikanska medborgare. Läckor tidigare i somras avslöjade dock att byrån använde tidigare okända juridiska tolkningar för att motivera insamling av data i bulk från amerikanska kommunikationsföretag för senare analys (se NSA Surveillance Reflects a Broader Interpretation of the Patriot Act ). Motståndare till taktiken säger att massinsamling ökar risken för missbruk av övervakningsbefogenheter, av misstag eller på annat sätt.
De Tider rapportera och en från Guardian baserat på samma dokument utelämnar många detaljer om NSA:s kapacitet men beskriver metoder som delas in i två breda kategorier: riktade insatser som kommer runt den kryptering som används av ett visst företag, och metoder som kan attackera de underliggande kryptografiska systemen som används av många företag.
I den första kategorin sägs NSA ha en databas med krypteringsnycklar som används av många onlineleverantörer för att säkra data, vilket gör att all data från dessa tjänster enkelt kan dekrypteras. Nycklarna ska enligt uppgift erhållas med hjälp av domstolsbeslut, genom att vinna företagens frivilliga samarbete eller genom att hacka sig in på företag för att stjäla deras nycklar. Attacker på specifika företag är tydligen också möjliga eftersom NSA har äventyrat de krypteringschips som används av vissa tjänsteleverantörer. Det gjorde detta, säger rapporten, genom att upptäcka säkerhetsbrister eller till och med övertala tillverkare att installera bakdörrar.
Kraften och omfattningen av den andra kategorin av attacker, som försöker undergräva kryptografiska algoritmer, är mindre tydlig. De Tider säger att NSA har gjort framsteg med tekniker som kan göra det praktiskt att vända kryptering som allmänt antas vara säker, delvis genom att påverka utformningen av kryptografiska standarder för att skapa en hemlig bakdörr. Ett stort fokus för dessa attacker var SSL, tekniken som används för att upprätthålla säkra anslutningar till onlinetjänster som bank.
Kryptografiexperter kämpar för att smälta nyheten om att standarder som de trodde var säkra kan ha sårbarheter som införts av NSA. Men utan detaljer om arten och effektiviteten av sådana attacker är det osannolikt att SSL kommer att överges.
Det finns tekniker som kan göra det möjligt för företag att begränsa NSA:s förmåga att kringgå kryptering genom att få tag i deras krypteringsnyckel som används för att säkra data. En teknik som kallas perfekt framåtsekretess skulle hindra byrån från att använda en krypteringsnyckel som tagits från ett företag, eller som var matematiskt knäckt, för att dekryptera all framtida och tidigare kommunikation. Istället för att använda en nyckel som används om och om igen, skapar perfekt vidarebefordran sekretess tillfälliga nycklar som endast används för en viss säker kommunikationssession mellan en användare och en leverantör.
Google antog metoden 2011, och Auerbach säger att min grova uppfattning är att det är den enda större tjänsteleverantören som använder den. EFF har i månader försökt övertala andra internetföretag att följa efter, utan framgång.
Auerbach hoppas att veckans nyheter kommer att få internetföretag att göra implementeringen av perfekt framåtriktad sekretess mer av en prioritet. Många företag har redan granskat sina säkerhets- och integritetspraxis på nytt i ljuset av NSA:s avslöjanden, säger han, och den byrån är sannolikt inte den enda som försöker kringgå kryptering. Vi pratar inte bara om den amerikanska regeringen utan även andra underrättelseorganisationer.
Joseph Lorenzo Hall, senior personaltekniker vid Centrum för demokrati & teknik , en ideell organisation i Washington, säger att tekniska lösningar som perfekt framåtriktad sekretess bara kan leda till att NSA tvingar internetleverantörer att installera en väg runt det. Även om man skulle hitta på en bra teknisk lösning kan man hamna i en position där man fick order om att kompromissa med den, säger han. Genom att skapa sådana bakdörrar, säger han, skulle NSA faktiskt undergräva USA:s nationella säkerhet genom att skapa sätt som andra aktörer kan utnyttja.