Şifrelenmiş hizmetlerdeki backdoors’ın konuşması, İngiltere hükümetinin Apple’ı iCloud’un uçtan uca şifreli (E2EE) cihaz yedekleme teklifini açmaya zorladığı raporları ortaya çıktıktan sonra turları bir kez daha yapıyor. Yetkililerin, hizmette devlet aktörlerinin net olarak verilere erişmesine izin verecek bir “arka kapı” oluşturmak için Apple’a yaslandıkları söylendi.
İngiltere, 2016 güncellemesini devlet gözetim güçlerine geçirdiğinden beri teknoloji firmalarının güçlü şifreleme kullanımını sınırlamak için kapsamlı güçlere sahipti. Raporlamaya göre Washington Postİngiltere yetkilileri, Apple’a talebi yerleştirmek için Araştırma Güçleri Yasası’nı (IPA) kullandılar-iCloud Gelişmiş Veri Koruma (ADP) hizmetinin Apple’ın kendisi de dahil olmak üzere üçüncü taraf erişiminden korumak için tasarlandığı verilere “battaniye” erişimini aradı.
Apple’ın ADP hizmetinin teknik mimarisi, teknoloji devi bile şifreleme anahtarları tutmayacak şekilde tasarlanmıştır-uçtan uca şifreleme (E2EE) kullanımı sayesinde Apple’ın “sıfır bilgi” olduğuna söz vermesine izin vermek için. kullanıcılarının verilerinin.
Bir arka kapı, tipik olarak üçüncü tarafları etkinleştirmek için güvenlik önlemlerini atlatmak veya başka bir şekilde zayıflatmak için kod içine yerleştirilmiş gizli bir güvenlik açığını tanımlamak için dağıtılan bir terimdir. ICloud davasında, sipariş İngiltere istihbarat temsilcilerinin veya kolluk kuvvetlerinin kullanıcıların şifreli verilerine erişmesine izin verir.
Birleşik Krallık hükümeti, IPA kapsamında verilen bildirimleri onaylamayı veya reddedmeyi rutin olarak reddederken, güvenlik uzmanları, iPhone üreticisi de dahil olmak üzere tüm kullanıcılara sunduğu güvenlik korumalarını zayıflatmak zorunda kalırsa, böyle bir gizli siparişin küresel sonuçlara sahip olabileceği konusunda uyardı. Birleşik Krallık dışında.
Yazılımda bir güvenlik açığı var olduktan sonra, diğer temsilci türleri tarafından kullanılma riski vardır, yani hackerlar ve kimlik hırsızlığı gibi hain amaçlara erişim elde etmek isteyen diğer kötü aktörler veya hassas veriler edinmek ve satmak veya Fidye yazılımlarını dağıtmak için bile.
Bu, E2EE’ye erişim için devlet odaklı girişimlerde kullanılan baskın ifadelerin neden bir arka kapının bu görsel soyutlaması olduğunu açıklayabilir; istemek güvenlik açığı Olmak kasıtlı olarak Koda eklendi, ödünleşmeleri plainer yapar.
Bir örnek kullanmak için: Fiziksel kapılar söz konusu olduğunda – binalarda, duvarlarda veya benzerlerinde – yalnızca mülkün sahibinin veya anahtar sahibinin bu giriş noktasını özel olarak kullanacağı asla garanti edilmez.
Bir açılış olduğunda, erişim potansiyeli yaratır – örneğin birisi anahtarın bir kopyasını alabilir veya hatta kapıyı yıkarak yollarını zorlayabilir.
Sonuç olarak: Sadece belirli bir kişinin geçmesine izin vermek için mükemmel bir seçici kapı yoktur. Birisi girebilirse, mantıklı bir şekilde başkasının da kapıyı kullanabileceğini izler.
Aynı erişim riski ilkesi, yazılıma (veya gerçekten de donanıma) eklenen güvenlik açıkları için geçerlidir.
Kavramı Nobus (“Bizden başka kimse”) Backdoors geçmişte güvenlik hizmetleri tarafından yüzdü. Bu özel tür arka kapı tipik olarak, diğerlerinden daha üstün olan belirli bir güvenlik açığından yararlanmak için teknik yeteneklerinin bir değerlendirmesine dayanır-aslında sadece kendi temsilcileri tarafından erişilebilen görünüşte daha güvenli bir arka kapı.
Ancak çok doğa, teknoloji gücü ve yetenek hareketli bir başarıdır. Bilinmeyen başkalarının teknik yeteneklerini değerlendirmek de kesin bir bilim değildir. “Nobus” kavramı zaten şüpheli varsayımlara dayanıyor; Herhangi bir üçüncü taraf erişimi, “yetkili” erişimi olan kişiyi hedeflemeyi amaçlayan sosyal mühendislik teknikleri gibi saldırı için yeni vektörler açma riski oluşturur.
Şaşırtıcı olmayan bir şekilde, birçok güvenlik uzmanı Nobus’u temelde kusurlu bir fikir olarak reddetmektedir. Basitçe söylemek gerekirse, herhangi bir erişim risk yaratır; Bu nedenle, arka kapı için itmek güçlü güvenliğe karşı antitetiktir.
Ancak, bu açık ve mevcut güvenlik endişelerinden bağımsız olarak, hükümetler arka kapılara baskı yapmaya devam ediyor. Bu yüzden onlar hakkında konuşmak zorunda kalıyoruz.
“Arka kapı” terimi, bu tür taleplerin kamudan ziyade gizli olabileceğini ima eder-tıpkı backdoors kamuya bakan giriş noktaları olmadığı gibi. Apple’ın iCloud durumunda, İngiltere’nin IPA kapsamında yapılan şifrelemeyi tehlikeye atma talebi – “teknik yetenek bildirimi” veya TCN aracılığıyla alıcı tarafından yasal olarak ifşa edilemez. Yasanın amacı, bu tür herhangi bir arka kapının tasarımla gizli olmasıdır. (Bir TCN’nin basına sızması bir bilgi bloğunu atlatmak için bir mekanizmadır, ancak Apple’ın bu raporlar hakkında henüz bir kamuoyu yorum yapmadığını belirtmek önemlidir.)
Hak grubuna göre Elektronik Sınır Vakfı“Backdoor” terimi 1980’lere kadar uzanır, arka kapı (ve “Trapdoor”), bilinmeyen birine bir sisteme erişmesini sağlamak için oluşturulan gizli hesaplara ve/veya şifrelere atıfta bulunmak için kullanılır. Ancak yıllar boyunca, kelime şifreleme ile etkinleştirilen veri güvenliğini bozma, atlatma veya başka bir şekilde tehlikeye atma girişimlerini etiketlemek için kullanılmıştır.
Backdoors tekrar haberlerde olsa da, İngiltere’nin şifreli iCloud yedeklemelerinden sonra İngiltere’nin gitmesi sayesinde, veri erişiminin onlarca yıl öncesine dayandığının farkında olmak önemlidir.
Örneğin, 1990’larda ABD Ulusal Güvenlik Ajansı (NSA), güvenlik hizmetlerinin şifreli iletişimleri kesmesine izin vermek amacıyla, içinde pişirilmiş bir arka kapıya sahip ses ve veri mesajlarını işlemek için şifreli donanım geliştirdi. Bilindiği gibi “Clipper Chip”, bir anahtar emanet sistemi kullandı – yani devlet yetkililerinin istediği durumda şifrelenmiş verilere erişimi kolaylaştırmak için devlet kurumları tarafından bir şifreleme anahtarı oluşturuldu ve saklandı.
NSA’nın, bir güvenlik ve gizlilik tepkisinden sonra, pişmiş arka fırınlarla çipleri kırpma girişimi başarısız oldu. Clipper Chip, kriptologların, meraklı hükümet aşırı erişimine karşı verileri güvence altına almak amacıyla güçlü şifreleme yazılımı geliştirme ve yayma çabalarını ateşlemeye yardımcı olmakla kredilendirilmesine rağmen.
Clipper Chip, sistem erişimini zorunlu kılma girişiminin kamuya açık bir şekilde yapıldığına da iyi bir örnektir. Arka kapıların her zaman gizli olması gerekmediğini belirtmek gerekir. (İngiltere’nin iCloud durumunda, devlet ajanları Apple kullanıcıları bilmeden açıkça erişim kazanmak istediler.)
Buna ek olarak, hükümetler sık sık, kamu desteğini davullamak ve/veya hizmet sağlayıcılara uymak için baskı yapmak için verilere erişme talepleri etrafında sık sık dağıtım yapıyor – örneğin E2EE’ye erişimin çocuk istismarı veya terörizmle mücadele etmek için gerekli olduğunu savunarak veya başka bir iğrenç suçu önleyin.
Backdoors, yaratıcılarını ısırmaya geri dönmenin bir yolu olabilir. Örneğin, Çin destekli bilgisayar korsanları geçen sonbaharda federal olarak zorunlu telekap sistemlerinden ödün verilmiştir-görünüşe göre arka kapı erişimini zorunlu kılan 30 yıllık federal yasa sayesinde US telcos ve ISS kullanıcılarının verilerine erişim elde etmek Bu durumda, E2EE olmayan verilerin), battaniye erişim noktalarını kasıtlı olarak sistemlere pişirme risklerinin altını çizmektedir.
Hükümetler ayrıca kendi vatandaşları ve ulusal güvenlikleri için risk yaratan yabancı arka kapı konusunda endişelenmek zorundadır.
Çin donanım ve yazılımının yıllar boyunca backdoors barındırdığından şüphelenilen birden fazla örneği var. Potansiyel arka kapı riskleri konusundaki endişeler, İngiltere de dahil olmak üzere bazı ülkelerin son yıllarda kritik telekom altyapısında kullanılan bileşenler gibi Çin teknoloji ürünlerinin kullanımını kaldırma veya sınırlama adımları atmasına yol açtı. Arka kapıların korkuları da güçlü bir motivasyon kaynağı olabilir.
