Accueil Sécurité Faire confiance au chiffrement est devenu beaucoup plus difficile

Faire confiance au chiffrement est devenu beaucoup plus difficile

Table des matières:

Anonim

En mai 2013, Edward Snowden a commencé sa publication sur un tournant qui allait ébranler notre perception des communications numériques cryptées. Les experts en sécurité, les personnes qui comptent sur le chiffrement et même les créateurs d'applications de chiffrement eux-mêmes sont maintenant inquiets qu'il soit impossible de faire à nouveau confiance au chiffrement.

À quoi ne pas faire confiance?

C'est un problème compliqué, surtout parce qu'il semble que les mathématiques derrière le chiffrement soient toujours solides. Ce qui a été remis en question au cours de l'année écoulée, c'est la façon dont le chiffrement a été mis en œuvre. Des organisations, telles que le National Institute of Standards and Testing (NIST) et Microsoft, sont sur la sellette pour avoir prétendument compromis les normes de chiffrement et collusion avec des agences gouvernementales.


En novembre 2013, Snowden a publié des documents qui accusaient le NIST d'affaiblir son algorithme de chiffrement, permettant à d'autres agences gouvernementales d'effectuer une surveillance. Après avoir été accusé, le NIST a pris des mesures pour se défendre. Selon Donna Dodson, conseillère en chef de la cybersécurité du NIST dans ce blog, "les informations sur les fuites de documents classifiés ont suscité des inquiétudes de la communauté cryptographique quant à la sécurité des normes et des directives cryptographiques du NIST. Le NIST est également profondément préoccupé par ces rapports, dont certains ont remis en question l'intégrité du processus d'élaboration des normes du NIST. "


Le NIST est à juste titre préoccupé - ne pas avoir la confiance des experts en cryptographie du monde ébranlerait les fondations d'Internet. Le NIST a mis à jour son blog le 22 avril 2014, en ajoutant les commentaires du public reçus sur NISTIR 7977: NIST Cryptographic Standards and Guidelines Development Process, commentaire des experts qui ont étudié la norme. Espérons que le NIST et la communauté cryptographique pourront trouver une solution agréable.


Ce qui s'est passé avec le géant des logiciels Microsoft était un peu plus nébuleux. Selon Redmond Magazine, le FBI et la NSA ont demandé à Microsoft de créer une porte dérobée vers BitLocker, le programme de cryptage de lecteur de la société. Chris Paoli, auteur de l'article, a interviewé Peter Biddle, chef de l'équipe BitLocker, qui a mentionné que Microsoft avait été placé dans une position délicate par les agences. Cependant, ils ont trouvé une solution.


"Bien que Biddle nie avoir construit dans une porte dérobée, son équipe a travaillé avec le FBI pour leur apprendre comment récupérer les données, notamment en ciblant les clés de chiffrement de sauvegarde des utilisateurs", a expliqué Paoli.

Qu'en est-il de TrueCrypt?

La poussière s'est presque installée autour du BitLocker de Microsoft. Puis, en mai 2014, l'équipe de développement secrète de TrueCrypt a choqué le monde de la cryptographie, annonçant que TrueCrypt, le premier logiciel de cryptage open source, n'était plus disponible. Toute tentative d'accès au site Web TrueCrypt a été redirigée vers cette page Web SourceForge.net qui affiche l'avertissement suivant:



Même avant la publication du document Snowden, ce type d'annonce aurait choqué ceux qui s'appuient sur TrueCrypt pour protéger leurs données. Ajoutez des pratiques de chiffrement douteuses et le choc se transforme en angoisse grave. De plus, les partisans de l'open source qui ont soutenu TrueCrypt sont désormais confrontés au fait que les développeurs TrueCrypt recommandent que tout le monde utilise BitLocker propriétaire de Microsoft.


Inutile de dire que les théoriciens du complot ont eu une journée de terrain avec cela. Il existe de nombreuses opinions différentes quant aux raisons de la décision. Au début, des experts tels que Dan Goodin et Brian Krebs pensaient que le site Web avait été piraté, mais après quelques vérifications, les deux ont rejeté cette notion.


Deux théories populaires qui s'alignent sur cette discussion:

  • Microsoft a acheté TrueCrypt pour éliminer la concurrence (les directions de migration BitLocker ont alimenté cette théorie).
  • La pression du gouvernement a forcé les développeurs de TrueCrypt à fermer le site Web (similaire à ce qui est arrivé à Lavabit).
Les soupçons sont désormais exprimés sur toutes les formes de cryptage simplement parce que personne ne sait à quel point les agences gouvernementales sont impliquées avec les développeurs de cryptage. Dans un article de blog de septembre 2013, Bruce Schneier, expert en sécurité de renommée mondiale, a déclaré: "Les nouvelles révélations de Snowden sont explosives. Fondamentalement, la NSA est capable de décrypter la majeure partie d'Internet. Ils le font principalement en trichant, pas en mathématiques. Rappelez-vous ceci: les maths sont bonnes, mais les maths n'ont pas d'agence. Le code a une agence et le code a été renversé. "


Ce manque de confiance dans le code se poursuit aujourd'hui. Le fait que les cryptographes effectuent un examen approfondi de TrueCrypt (IsTrueCryptAuditedYet) est un excellent exemple de l'incertitude qui continue d'exister.

À quoi pouvons-nous faire confiance?

Edward Snowden et Bruce Schneier ont tous deux déclaré que le cryptage est toujours la meilleure solution pour garder les regards indiscrets loin des informations personnelles et d'entreprise sensibles.


Snowden, lors de son interview SXSW avec Christopher Soghoian, principal technologue de l'ACLU, et Ben Wizner, également de l'ACLU, a déclaré: "L'essentiel est que le chiffrement fonctionne. Nous ne devons pas considérer le chiffrement comme un art obscur et obscur, mais comme une protection de base. pour le monde numérique. "


Snowden a ensuite offert un exemple personnel. La NSA a travaillé dur pour déterminer quels documents il avait divulgués, mais ils n'en ont aucune idée, simplement parce qu'ils sont incapables de décrypter ses fichiers. Bruce Schneier est également à la pointe du cryptage. Pourtant, Schneier a tempéré son soutien par un avertissement.


"Les logiciels fermés sont plus faciles à utiliser par la NSA que les logiciels libres. Les systèmes reposant sur des secrets principaux sont vulnérables à la NSA, par des moyens légaux ou plus clandestins", a-t-il déclaré.


Dans un peu d'ironie, le commentaire de Schneier a également été fait avant que TrueCrypt ne soit fermé, et avant que les développeurs de TrueCrypt ne commencent à suggérer que les gens utilisent BitLocker. L'ironie: TrueCrypt est open source, tandis que BitLocker est une source fermée.

Faire confiance au chiffrement est devenu beaucoup plus difficile