Het omzeilen van versleuteling maakt de handen van de NSA online vrij

Uit een reeks lekken deze zomer bleek dat de National Security Agency nieuwe interpretaties van de Amerikaanse wetgeving gebruikt om massaal gegevens te verzamelen van 's werelds grootste internetbedrijven. Nu suggereren nieuwe rapporten over de technische mogelijkheden van de NSA dat het bureau de meeste online communicatie kan lezen zonder rechtstreeks naar serviceproviders te gaan.





De New York Times , daarbij verwijzend naar documenten die zijn gelekt door voormalig NSA-aannemer Edward Snowden, rapporten dat de NSA veel van de online gebruikte versleuteling heeft omzeild of gekraakt. Dergelijke mogelijkheden zouden zeer krachtig kunnen worden gecombineerd met de toegang waarvan bekend is dat het agentschap heeft tot verkeer dat wordt vervoerd door internetserviceproviders en grote internationale telecommunicatiekabels.

Dit suggereert dat ze niet meer naar bijvoorbeeld Google hoeven te gaan; ze kunnen gegevens van AT&T ontsleutelen of hun eigen infrastructuur gebruiken, bijvoorbeeld op de onderzeese kabels, zegt Dan Auerbach, een staftechnoloog bij de Electronic Frontier Foundation .

Het gebruik door de NSA van haar bewakingscapaciteiten wordt beperkt door de Amerikaanse wet, die bewaking van Amerikaanse burgers verbiedt. Uit lekken eerder deze zomer bleek echter dat het bureau voorheen onbekende juridische interpretaties gebruikte om het verzamelen van gegevens in bulk van Amerikaanse communicatiebedrijven voor latere analyse te rechtvaardigen (zie NSA Surveillance Reflects a Broader Interpretation of the Patriot Act). Tegenstanders van de tactiek zeggen dat bulkinzameling het risico vergroot van misbruik van toezichtbevoegdheden, al dan niet per ongeluk.



De Keer rapporteren en een van de Guardian gebaseerd op dezelfde documenten laten veel details over de mogelijkheden van de NSA weg, maar beschrijven methoden die in twee brede categorieën vallen: gerichte inspanningen die de codering omzeilen die door een bepaald bedrijf wordt gebruikt, en methoden die de onderliggende cryptografische systemen die door veel bedrijven worden gebruikt, kunnen aanvallen.

In de eerste categorie zou de NSA een database bijhouden met coderingssleutels die door veel online providers worden gebruikt om gegevens te beveiligen, waardoor alle gegevens van die services gemakkelijk kunnen worden gedecodeerd. De sleutels zijn naar verluidt verkregen met behulp van gerechtelijke bevelen, door de vrijwillige samenwerking van de bedrijven te winnen of door bedrijven te hacken om hun sleutels te stelen. Aanvallen op specifieke bedrijven zijn blijkbaar ook mogelijk omdat de NSA de encryptiechips die door sommige serviceproviders worden gebruikt, heeft gecompromitteerd. Het deed dit, zegt het rapport, door beveiligingsfouten te ontdekken of zelfs fabrikanten te overtuigen om achterdeurtjes te installeren.

De kracht en reikwijdte van de tweede categorie aanvallen, die cryptografische algoritmen proberen te ondermijnen, is minder duidelijk. De Keer zegt dat de NSA vooruitgang heeft geboekt met technieken die het praktisch zouden kunnen maken om encryptie om te keren die algemeen als veilig wordt beschouwd, deels door het ontwerp van cryptografische standaarden te beïnvloeden om een ​​geheime achterdeur te creëren. Een belangrijk aandachtspunt van die aanvallen was SSL, de technologie die wordt gebruikt om veilige verbindingen met online diensten zoals bankieren af ​​te dwingen.



Cryptografie-experts hebben moeite om het nieuws te verwerken dat normen waarvan zij dachten dat ze veilig waren, mogelijk kwetsbaarheden bevatten die door de NSA zijn geïntroduceerd. Zonder details over de aard en efficiëntie van dergelijke aanvallen is het echter onwaarschijnlijk dat SSL zal worden afgeschaft.

Er bestaan ​​​​technologieën waarmee bedrijven het vermogen van de NSA om versleuteling te omzeilen kunnen beperken door hun versleutelingssleutel te bemachtigen die wordt gebruikt om gegevens te beveiligen. Een techniek die perfect forward secrecy wordt genoemd, zou voorkomen dat het bureau een coderingssleutel gebruikt die van een bedrijf was afgenomen of die wiskundig was gekraakt, om alle toekomstige en eerdere communicatie te decoderen. In plaats van steeds opnieuw een sleutel te gebruiken, creëert Perfect Forward Secrecy tijdelijke sleutels die alleen worden gebruikt voor een bepaalde beveiligde communicatiesessie tussen een gebruiker en een provider.

Google heeft de methode in 2011 overgenomen en Auerbach zegt dat ik ruwweg begrijp dat het de enige grote serviceprovider is die het gebruikt. De EFF probeert al maanden andere internetbedrijven over te halen dit voorbeeld te volgen, maar zonder succes.



Auerbach hoopt dat het nieuws van deze week ervoor zal zorgen dat internetbedrijven de implementatie van perfect forward secrecy meer prioriteit gaan geven. Veel bedrijven hebben hun beveiligings- en privacypraktijken al opnieuw onderzocht in het licht van de onthullingen van de NSA, zegt hij, en het is onwaarschijnlijk dat die instantie de enige is die encryptie probeert te omzeilen. We hebben het niet alleen over de Amerikaanse regering, maar ook over andere inlichtingendiensten.

Joseph Lorenzo Hall, senior staftechnoloog bij de Centrum voor Democratie en Technologie , een non-profitorganisatie in Washington, zegt dat technische oplossingen zoals Perfect Forward Secrecy de NSA er misschien toe kunnen brengen om internetserviceproviders te dwingen een manier te installeren om het te omzeilen. Zelfs als je een goede technische oplossing zou uitvinden, zou je in een positie kunnen worden gebracht waarin je wordt bevolen om een ​​compromis te sluiten, zegt hij. Door dergelijke achterdeurtjes te creëren, zegt hij, zou de NSA de Amerikaanse nationale veiligheid in feite ondermijnen door manieren te creëren waarop andere actoren misbruik kunnen maken.

zich verstoppen