Megingott a titkosításokba vetett bizalom

A megfigyelési botrányok és a Snowden-ügy árnyékában egyre többször kérdőjeleződik meg a titkosítások valódi hatékonysága. Az aggodalmak nem alaptalanok, de titkosítás nélkül nem lehet boldogulni.
 

A múlt héten többek között a The New York Times is beszámolt arról a dokumentumról, amelyet ezúttal is Edward Snowden hozott nyilvánosságra az amerikai Nemzetbiztonsági Ügynökséggel (NSA - National Security Agency) kapcsolatban. A napvilágra került információkból az is kiolvasható, hogy az NSA komoly anyagi és technológiai erőforrásokat áldozott arra, hogy titkosított adatokhoz szerezzen hozzáférést. Snowden szerint 2000 óta több milliárd dollárt szentelt az ügynökség ilyen célokra. Volt például egy Sigint Enabling Project nevű kezdeményezés, amely egymaga több mint 250 millió dollárt emésztett fel azzal a céllal, hogy kereskedelmi szoftverek esetében különféle kiskapukat lehessen kiaknázni. A védett adatokhoz való hozzáférést azonban számos más technika is segíthette: szuperszámítógépekkel történő kódfejtés, brute force módszerek alkalmazása, sérülékenységek kihasználása stb. Mindezek hallatán több biztonsági szakember is felszólalt, akik körében azért érződött némi bizonytalanság az NSA valódi kódfejtési képességeit illetően, de tulajdonképpen kivétel nélkül kiálltak a titkosítások alkalmazása mellett.

Nem a titkosítás a gyenge pont, hanem a megvalósítás

Steve Weis, az MIT kriptográfiával foglalkozó kutatója hangsúlyozta, hogy a titkosítások önmagukban - ha a matematikai megfontolásokat is figyelembe vesszük - nagyon nehezen törhetők. Ezért sokkal valószínűbb, hogy az NSA a kódfejtést inkább arra alapozhatta, hogy a titkosításokat megvalósító algoritmusokban, szoftveres összetevőkben keresett hibákat, és azokat próbálta a saját javára fordítani. A kutató azon dokumentumokra is kitért, amelyek arról szólnak, hogy az NSA az NIST által korábban jóváhagyott Dual_EC_DRBG titkosítási szabványba egy hátsó kaput hagyott. Weis ugyanakkor megjegyezte, hogy ez a szabvány sok éve létezik, és nagyon kevesen alkalmazzák, amióta a Microsoft két mérnöke felfedezte a kiskaput még 2007-ben. (A szabvány véletlenszámok kezelésére vonatkozó előírásaival kapcsolatos problémák már 2006-ban is foglalkoztatták a szakembereket.)

"Eddig még nem láttam semmiféle arra utaló jelet, hogy egy olyan algoritmust, mint amilyen az AES (Advanced Encryption Standard) feltörtek volna" - mondta Weis. A kutató álláspontjához Dave Anderson, a Voltage Security biztonsági igazgatója a következőket fűzte hozzá: "Amennyiben ezeket az algoritmusokat megfelelően implementálják, akkor a titkosítás lényegében feltörhetetlen biztonságot garantál". A szakember arra utalt, hogy ha a titkosítások megvalósításába nem csúszik hiba, akkor akár egy szuperszámítógéppel is rengeteg időbe telhet, mire egy kódot sikerül megfejteni. Azonban, ha az implementálás problémás, vagy a kulcsmenedzsmenthez tartozó folyamatok nem megfelelőek, akkor órák alatt egy hagyományos PC-vel is eredményt lehet elérni. Ezért Anderson szintén azon a véleményen van, hogy az NSA inkább a sebezhetőségek feltárására és a kulcsmenedzsment esetleges hiányosságaira fókuszálhatott.

Mit lehet tenni?

Felmerülhet a kérdés, hogy a fentiek alapján milyen módon lehet fokozni az adatok védelmét. Először is - a bizonytalanságok ellenére - nem szabad hanyagolni a titkosítást. Erre igen is szükség van. Napjainkban még mindig gyakori, hogy az elektronikus levelek, a webes szolgáltatások, az üzenetváltások, stb. titkosítatlanul keringenek az interneten. Így aztán ezek lehallgatása nem okoz különösebb bonyodalmat. Titkosítással azonban az adatokhoz való hozzáférés jelentősen megnehezíthető, persze csak akkor, ha ehhez megfelelő eszközök állnak rendelkezésre.


Érdemes lehet megfontolni a nyílt forráskódú megoldások használatát, mint amilyen például az OpenSSL is. A Marble Security szerint így olyan eszközökhöz lehet jutni, melyek változásai folyamatosan nyomon követhetők, és szakemberek, fejlesztők ezrei tudják ellenőrizni azt, hogy az algoritmusok implementálásába nem csúszott hiba, illetve, hogy nincsenek hátsó kapuk.
 
  1. 3

    A Spring Framework egy közepes veszélyességű hibát tartalmaz.

  2. 4

    A 7-Zip egy súlyos sebezhetőség miatt szorul frissítésre.

  3. 3

    Újabb biztonsági frissítést kapott a Drupal.

  4. 4

    A Google Chrome egy fontos biztonsági hibajavítást kapott.

  5. 3

    Fél tucat biztonsági hiba vált kimutathatóvá a PHP-ben.

  6. 3

    A Nextcloud Desktop esetében két biztonsági rést kell befoltozni.

  7. 3

    Az Apple két sebezhetőséget szüntetett meg egyes operációs rendszereiben.

  8. 4

    A FortiClient kapcsán egy nulladik napi sebezhetőségre derült fény.

  9. 4

    A Palo Alto PAN-OS egy kritikus veszélyességű sebezhetőséget tartalmaz.

  10. 3

    Az Apache Tomecat három sérülékenység miatt kapott frissítést.

Partnerhírek
Új funkciókat kaptak az ESET otthoni védelmi szofverei

​Az ESET HOME Security legújabb verziója új és továbbfejlesztett funkciókkal véd a személyazonosságlopás, az adathalászat és más fenyegetések ellen.

Hazánkba is megérkezett az ESET Services

​Az ESET Magyarországon is elérhetővé tette az ESET Servicest, amely többek között biztosítja a gyors, felügyelt EDR (XDR) szolgáltatást is.

hirdetés
Közösség