İçindekiler:
Mayıs 2013'te Edward Snowden şifreli dijital iletişim algımızı sarsacak havza belge yayınına başladı. Güvenlik uzmanları, şifrelemeye güvenen insanlar ve hatta şifreleme uygulamalarının yaratıcıları bile şifrelemeye tekrar güvenmenin imkansız olabileceği konusunda sorunlu.
Güvenmeyecek Ne Var?
Bu karmaşık bir konudur, çünkü şifrelemenin arkasındaki matematik hala sağlam görünmektedir. Geçen yıl söz konusu olan, şifrelemenin nasıl uygulandığıdır. Ulusal Standartlar ve Test Enstitüsü (NIST) ve Microsoft gibi kuruluşlar, şifreleme standartlarından ödün verildiği ve devlet kurumlarıyla uyum sağladıkları iddiaları için sıcak koltuktadır.
Kasım 2013'te Snowden, NIST'i şifreleme algoritmasını zayıflatmakla suçlayan ve diğer devlet kurumlarının gözetim yapmasına izin veren belgeleri yayınladı. Suçlandıktan sonra NIST kendini doğrulamak için adımlar attı. NIST'in bu siber güvenlik danışmanı Donna Dodson'a göre, "sızdırılmış gizli belgelere ilişkin haberler, kriptografik topluluktan NIST şifreleme standartları ve kılavuzlarının güvenliği konusunda endişe yarattı. NIST, bu raporlardan derin endişe duyuyor. NIST standartlarını geliştirme sürecinin bütünlüğünü sorguladı. "
NIST haklı olarak endişelidir - dünyanın kriptografik uzmanlarına güvenmemek İnternet'in temelini sarsacaktır. NIST blogunu 22 Nisan 2014'te güncelleyerek NISTIR 7977: NIST Şifreleme Standartları ve Yönergeleri Geliştirme Süreci'nde Alınan Herkese Açık Yorumları ekleyerek standardı inceleyen uzmanların yorumunu yaptı. Umarım, NIST ve kriptografik topluluk kabul edilebilir bir çözüme ulaşabilir.
Dev yazılım sağlayıcısı Microsoft'a ne olduğu biraz daha belirsizdi. Redmond Magazine'e göre, hem FBI hem de NSA, Microsoft'tan şirketin sürücü şifreleme programı olan BitLocker'ın arka kapısını inşa etmesini istedi. Makalenin yazarı Chris Paoli, Microsoft'un ajanslar tarafından garip bir konuma getirildiğini belirten BitLocker ekibinin başkanı Peter Biddle ile röportaj yaptı. Ancak bir çözüm buldular.
Paoli, "Biddle arka kapıda inşa etmeyi reddederken, ekibi FBI ile birlikte, kullanıcıların yedek şifreleme anahtarlarını hedefleme de dahil nasıl veri alabileceklerini öğretmek için çalıştı."
TrueCrypt ne olacak?
Toz neredeyse Microsoft'un BitLocker'ının etrafına çöküyordu. Daha sonra, Mayıs 2014'te gizli TrueCrypt geliştirme ekibi, açık kaynak kodlu şifreleme yazılımı TrueCrypt'in artık mevcut olmadığını ilan ederek şifreleme dünyasını şok etti. TrueCrypt web sitesine gitmek için yapılan herhangi bir girişim, aşağıdaki uyarıyı görüntüleyen bu SourceForge.net Web sayfasına yönlendirildi:
Snowden belgesi yayınlanmadan önce bile, bu tür duyurular verilerini korumak için TrueCrypt'e güvenenleri şok ederdi. Şüpheli şifreleme uygulamalarını ekleyin ve şok ciddi bir açığa dönüşür. Ayrıca, TrueCrypt'i destekleyen açık kaynaklı savunucular, TrueCrypt geliştiricilerinin herkesin Microsoft'un tescilli BitLocker'ını kullanmasını önerdiğiyle yüzleşiyor.
Söylemeye gerek yok, komplo teorisyenleri bununla bir tarla günü geçirdi. Kararın ardındaki nedenler hakkında birçok farklı görüş var. İlk başta, Dan Goodin ve Brian Krebs gibi uzmanlar web sitesinin saldırıya uğradığını düşündüler, ancak bazıları kontrol ettikten sonra bu görüşü reddetti.
Kendilerini bu tartışmayla hizalayan iki popüler teori:
- Microsoft rekabeti ortadan kaldırmak için TrueCrypt satın aldı (BitLocker geçiş yönleri bu teoriyi körükledi).
- Hükümet baskısı TrueCrypt'in geliştiricilerini web sitesini kapatmaya zorladı (Lavabit'e olanlara benzer).
Koda olan inanç eksikliği bugün de sürüyor. Kriptografların TrueCrypt'in (IsTrueCryptAuditedYet) yoğun bir incelemesini gerçekleştirmesi, varlığını sürdüren belirsizliğin en iyi örneğidir.
Neye Güvenebiliriz?
Hem Edward Snowden hem de Bruce Schneier, şifrelemenin meraklı gözleri hassas kişisel ve şirket bilgilerinden uzak tutmak için hala en iyi çözüm olduğunu söyledi.
Snowden, ACLU'nun baş teknoloji uzmanı Christopher Soghoian ve Ben Wizner ile yaptığı SXSW röportajında, ACLU'nun da yaptığı açıklamada, "Sonuçta şifrelemenin işe yaradığı. Şifrelemeyi bir sır, karanlık sanat değil, temel koruma olarak düşünmemiz gerekiyor dijital dünya için. "
Snowden daha sonra kişisel bir örnek sundu. NSA, hangi belgeleri sızdırdığını bulmak için çok çalışıyor, ancak sadece dosyalarının şifresini çözemedikleri için hiçbir fikirleri yok. Bruce Schneier de şifreleme söz konusu olduğunda her şeydedir. Yine de Schneier desteğini bir uyarıyla öfkelendirdi.
"Kapalı kaynaklı yazılım NSA için arka kapıya açık kaynak yazılımdan daha kolay. Ana sırlara dayanan sistemler yasal veya daha gizli yollarla NSA'ya karşı savunmasızdır." Dedi.
Kısacası, Schneier'in yorumu TrueCrypt'in kapatılmasından önce ve TrueCrypt geliştiricileri insanların BitLocker'ı kullanmasını önermeden önce yapıldı. İroni: TrueCrypt açık kaynak, BitLocker kapalı kaynaktır.
