Az állítás szerint egy 10 éves kutatási program gyümölcseként 2010-ben elért áttörés eredményeképpen az interneten összegyűjtött adatok jelentős mennyisége megfejthető.
Ellenben:"N.S.A. documents show that the agency maintains an internal database of encryption keys for
specific commercial products, called a Key Provisioning Service, which can automatically
decode many messages. If the necessary key is not in the collection, a request goes to the
separate Key Recovery Service, which tries to obtain it."
"How keys are acquired is shrouded in secrecy, but independent cryptographers say many are probably collected by hacking into companies’ computer servers, where they are stored."
"Simultaneously, the N.S.A. has been deliberately weakening the international encryption
standards adopted by developers. One goal in the agency’s 2013 budget request was to
“influence policies, standards and specifications for commercial public key technologies,” the
most common encryption method."
Kiemelések tőlem.
Mivel konkrétumokat nem igazán találni, lehet, hogy nem is a tényleges algoritmust törték meg? Implementációkban fedeztek fel / hoztak létre támadási pontokat? Birtokában vannak SSL Root Certificate-eknek - mondjuk az összesnek?
A modern szimmetrikus kulcsú titkosítások még mindig biztonságosak - amíg fel nem törik a gépedet? Az asszimetrikusak mind elbuktak, vagy csak bizonyos feltételek (p. elavult hash algoritmus) esetén?
Index | The Guardian | NyT
Hozzászólások
Szia,
Nem teljesen értem a megdöbbenésed. Pont arról a szervezetről beszélünk, amelyikről kiderült, hogy kb. nagy ívben tesz a személyiségi jogokra. Lehallgat, megfigyel, és ki tudja még mit nem tesz.
És, ha csak "véletlenül" megszerzik egy gép belépési adatait a nyílt hálón, simán körbe nézhetnek. A "véletlen"-ben meg sokat segít a logisztikai elhelyezkedésük, az eszköz parkjuk, és természetesen az a pár ezer ember, aki nekik dolgozik...
Ezek után, engem, ez a lehető legkevésbé lep meg. Könnyíteni akarnak a dolgukon, és mivel jó alappozícióról indultak, simán megtehetik (tőke van, lehetőségek adottak, és mellékesen egy nagy hatalom áll mögöttük).
A titkosításról pedig, mint fogalomról, mindig is tudtuk, hogy csak ideig óráig biztonságosak. A különbség most annyi, hogy egy helyről "biztosan" tudjuk, hogy van kiskapujuk... Ettől még más cég/szervezet is rendelkezhet ilyen hatalommal, csak ők nem buknak le...
Összeesküvés elmélet gyanánt kiváló alaptéma lehet és pánikrohamnak is kiváló, de őszintén: Mi ebben a meglepő? Ahol pénz van, ott hatalom is. És csak a mesékben létezik a hős aki megmenti a világot, majd ellovagol a naplementébe... A valóságban csak időt lehet nyerni, szerintem legalábbis, nem pedig csatát... (ebben a műfajban)
Üdv,
LuiseX
Azért szerintem nem teljesen mindegy, hogy egy olyan algoritmust törnek, amit a jelenlegi ismereteink szerint "nem lehet" belátható időn belül megfejteni, vagy "csupán" sokkal mélyebben bevették magukat a teljes internetes infrastruktúrába (lopott kulcsok, hibás implementációk), mint az elsőre az gondolta volna a az ember - jelen esetben én.
Előbbinek, ha kitudódik, komoly matematikai eredménye is lehet, illetve viszonylag rövid távon maga után vonhatja a teljes hálózati titkosítás gyökeres változását - erre azért nem hiszem, hogy lehetett számítani mostanság.
Második esetben pusztán a kémkedési módszereiket járatták csúcsra, szóval a jövőben is főleg csak a titkosszolgálatok olvasgatják majd a leveleinket.
Mondjuk ha az volt a cél, hogy a terroristák lehetőleg mellőzzék az internet használatát, akkor végül elég az ilyen szivárogtatás is.
Szia,
Értem az aggodalmadat, de gyakorlatilag egy olyan szervezet lehetőségeit forszírozzuk, amelyiknek _van_ lehetősége bármelyik irányba menni. Adott a tőke, hogy a matematikusokat megfizessék, akik hibát találnak az elvben, de fizethetnek programozókat, akik az implementációt támadják meg, sőt, mivel nem túlzottan ellenőrzött kívülről a szervezet, akár csak feltörhetnek minden érintett gépet.
Végeredményben így is, úgyis lőttek a titkosságnak, és nincs az az algoritmus, amit lehetne védeni, vagy amivel lehetne védekezni, ha már az elvi kitalálás szintjén lévő kommunikációt lehallgathatják, arra nem is gondolok, hogy magát az implementációt is fertőzhetik.
Nyílt terepen igazából nincs minek vetned a hátad, és jelenleg itt ez a nagyobb probléma szerintem... (mert, ugyebár a net 60-70%-hoz szabad hozzáférésük van a jelentések szerint, tehát, nem kell aggódni, nagy bizonyosság szerint, bármi is van, manipulálhatják...)
Szóval, én inkább ezen már nem aggódnék, tekintve itt ezen a talajon az információ biztonság kérdése eleve bukott... Bármit teszel, védeni jelenleg csak a saját fejedben lévő adatokat tudod, ami valamilyen módon gépre kerül, már védtelen. Legalábbis, az NSA-tól. És szerintem, mindegy hogy jutnak hozzá, a lényegen nem változtat...
Üdv,
LuiseX
U.i: Szerintem felesleges attól félned, hogy törték-e a titkosítási algoritmusokat, mivel ezt az információt ők védeni fogják (saját kiskapudat csak nem tárod a világ elé...), és nem hagyják illetéktelen kezekbe kerülni.És, ezt is könnyedén meg tudják oldani... Ez utóbbi megint a nagyobb gond :)
Nem is az NSA-tól kell tartani általában, hanem attól, hogy kiszabadul a szellem a palackból - mert ők sem istenek - és még rosszabb rossz kezekbe kerül. Ha mondjuk majd az oliga maffia kezdi el törögetni pl. az újságírók levelezését, annak csúnya vége lesz.
De a mai és az elkövetkező estékre ettől függetlenül nyugodt alvást terveztem :)
A maffia az újságírók ujjait szokta törögetni, nem a levelezését...
Vagy hirdetési szerződést ad a kenyéradó lapnak.
Maffia van egypúpú, van kétpúpú, van négypúpú, sőt több.
Na de először csak kiderítik valahogy, hogy melyik újságíróét kell eltörni.
Ha Nixon másra nem is tanította meg a világot, arra mindenképpen, hogy ha a politika belelát az újságíró lapjaiba, akkor maffiára már nincs szükség.
(Egyébként ehhez a megállapításhoz Nixonig se kell visszamenni.)
"Összeesküvés ELMÉLET gyanánt"
Ezen besírtam:)
Luisex már ne haragudj, 1 másik topicban
segítettél ezért köszönettel tartozom de hogy összeesküvés elméletnek nevezni nyilvánvaló tényeket amikről ~10 éve beszélnek...
Hát mint a viccben:
Doktor úr, üldözési mániám van de üldöznek is
Csak sajnos ez nem vicc
Szia,
Dehogy haragszom :)
Mindössze bagatellizálom a felvetett problémát, mivel szerintem nagyobb gond, hogy létezhet erőforrása valakinek ilyen eszközökhöz. Főleg, hogy egy olyan szervezet, ami kategorikusán nem túl ellenőrzött..
Ha lenne felettük kontroll, vagy legalább hasonló kaliberben érzékelhető ellenerő, akkor kevésbé zavarna a dolog, de jelenleg az NSA tevékenységének nem sok minden szab gátat, látható abból is, hogy attól függetlenül, hogy kiderült mit művelnek, semmi sem történik velük... (Értem, hogy titkos szolgálat, és ez lenne a feladatok eleve, csak éppen kicsit túl fejlődött :) )
Üdv,
LuiseX
U.i: Nem félek attól, hogy engem fognak figyelni, követni, stb. Ha ez bekövetkezne, nem tehetek ellene semmit (lehet, észre se venném), és inkább nem aggódok amiatt, hogy bármikor rám eshet egy zongora az utcán :)
SZerk1: Am. nem a tényeket nevezem összeesküvés elméletnek, hanem azt mondom, hogy jelenleg a felesleges aggodalmak totális táptalajaként funkcionálnak... Mert minden összeesküvés elmélet hordoz némi ténytartalmat, és pont ezért hiszik el annyira könnyen az emberek :)
... pár éve US-ban nagyon prüszköltek a Huawei útválasztók miatt, mert hogy KINAI backdoor van benne - vagy csak félnek, hogy van benne - mert a CISCO-ba meg gyárilag
van made in NSA backdoor...
De szép magyar mondat. :(
"Birtokában vannak SSL Root Certificate-eknek - mondjuk az összesnek?"
Ez szinte biztosra vehető.
A kereskedelmi zárt kódú encryption szoftverek is szinte biztosan érintettek.
Kérdés az open source, ott bele kellett folynia a nyílt fejlesztésbe az NSA-nak, hogy berakja az backdoorjait. Volt még régen valami Debian fisakó egy titkosító csomag körül. Lehetséges, hogy az sem véletlen bénázás volt.
Nekem vmi BSD crypto implementációs "botrány" ugrott be, de már nem emlékszem a részletekre és nem is találom. Vádaskodás volt, hogy szándékosan volt hibás/gyenge a kód.
OpenBSD és IPSEC stack, az FBI fizetett két arcot, és ennek kb. 15 éve. 2010-ben járt le az NDA-juk, utána küldtek levelet róla Theo-nak.
köszi, könyvjelzőzve.
hasonlót el tudok képzelni SSL környékén is
tyú..
Persze az ember sejti, hogy ilyen van, de így ez nagyot üt.
Üzleti termékek gondolom ugyanez. Hiába, tudták mivel vádolják a Huawei-t.
Érdekelne, hogy mindez
- igaz-e?
- ha igaz, átnézte-e valaki ezeket a kódokat és megtalálta-e az említett backdoorokat?
(ehhez képest az, hogy pl. a dd-wrt készítőit is azzal vádolták, hogy backdoor van a szoftverükben...)
Ti hol a banatban voltatok 2006-ban es 2010-ben, hogy ezekrol az akkor alomszep balhet generalo musorokrol ennyire tokeletesen lemaradtatok ?
---
pontscho / fresh!mindworkz
Ennyi év után? Különösen, hogy BSD-vel alig, ipsec témával meg foglalkoztam? :)
2010-ben már rég munkanélküli voltam, akkoriban már végképp nem érdekelt a téma.
Nehez nem foglalkozni olyan temakkal, amik napokon/heteken at focimek voltak. :)
---
pontscho / fresh!mindworkz
Az inkább sima bénázás volt, de az NSA-s arcok valszeg popkornos pezsővel ünnepeltek.
Ezt már szerintem nem tudjuk meg, de ha beépített ember volt a maintainer akkor is logikus, hogy hasonlóképpen járjon el. Előbb elrontja a kódot a patcheivel majd takargatja a hibát, amikor jó sokára lebukik próbálja játszani a sértett lamert akinek ciki a saját bénázása és csak ezért akarta szőnyeg alá seperni az ügyet. Közben pedig az NSA-nak dolgozott amit valóban sikerült titokban tartania a loser lamer színjátékával.
Hmm... Van egy dézsányi vűm.
http://hup.hu/node/125676
http://www.mail-archive.com/linux-kernel@vger.kernel.org/msg467322.html
Nem törtek ezek fel/meg semmit, a privát kulcsokat szerezték meg.
http://itcafe.hu/hir/nsa_titkositas.html
--
PtY - www.onlinedemo.hu