Nieuws
image

Professoren sturen open brief aan NSA en GCHQ

dinsdag 17 september 2013, 09:52 door Redactie, 8 reacties

Verschillende beveiligingsonderzoekers en professoren hebben een open brief aan de NSA en GCHQ geschreven waarin ze stellen dat de inlichtingendiensten het algemeen belang hebben geschaad door het ondermijnen van de encryptie die voor allerlei kritieke toepassingen wordt gebruikt.

De professoren reageren op de recente onthullingen dat zowel de Amerikaanse als Britse inlichtingendiensten op allerlei manieren proberen om encryptie te ondermijnen. Daarbij zouden opzettelijk cryptografische standaarden worden verzwakt en voorzien van backdoors. Backdoors die niet alleen door de originele bedenkers zouden kunnen worden misbruikt, maar ook door anderen.

Algemeen belang

"Eén van de primaire missies van de veiligheidsdiensten is het beschermen van burgers en bedrijven tegen cyberaanvallen. Door het op nog onbekende wijze verzwakken van cryptografische standaarden waar we allemaal op vertrouwen om de kritieke infrastructuur te beschermen, vinden we de dat de diensten het algemeen belang hebben geschonden dat ze juist moeten dienen", zo laten de professoren weten.

Die vinden het verder schokkend dat zowel de Amerikaanse als Britse overheid beschuldigd worden van het ondermijnen van de systemen die juist iedereen zouden moeten beschermen. "Door het verzwakken van onze veiligheid zodat ze naar de communicatie van onze vijanden kunnen luisteren, verzwakken ze ook onze veiligheid tegen onze potentiële vijanden."

Vertrouwen

De professoren roepen daarom de NSA en GCHQ op om te laten weten welke systemen ze hebben verzwakt en ondermijnd, zodat die hersteld kunnen worden. Daarnaast moet er controle plaatsvinden met duidelijke regels die het verzwakken van de veiligheid van civiele en infrastructurele systemen verbieden. "In het moderne informatietijdperk moeten we de basisinfrastructuur die we allemaal gebruiken volledig kunnen vertrouwen", aldus het einde van de brief.

Reacties (8)
17-09-2013, 10:03 door Anoniem
Ze kunnen het nou wel vragen, maar hoewel ze best nuttig kunnen zijn, kan je de antwoorden niet echt vertrouwen... op volledigheid bijvoorbeeld.

Dus ga maar vast zelf zoeken.
17-09-2013, 10:54 door Dick99999
De originele brief maakt onderscheidt tussen 'to weaken international cryptographic standards" en "to place "backdoors". Zou je over het eerste punt niet kunnen zeggen dat de professoren niet goed hebben opgelet of bijgedragen?
17-09-2013, 11:06 door Overcome
Door Dick99999: De originele brief maakt onderscheidt tussen 'to weaken international cryptographic standards" en "to place "backdoors". Zou je over het eerste punt niet kunnen zeggen dat de professoren niet goed hebben opgelet of bijgedragen?

Nee. Het budget van de NSA op gebied van cryptografie loopt in de miljarden. Over de afgelopen decennia hebben ze tientallen en misschien wel honderden miljarden dollars ter beschikking gehad om een voorsprong op te bouwen op gebied van wiskundige aspecten van cryptografie en cryptoanalyse. Er zit een cryptografische kennis bij de NSA die niet aanwezig is bij de academia, hoe slim de professoren ook zijn. Soms, zoals in het geval van Dual_EC_DRBG, ligt het er duimendik bovenop dat er iets gaande is en dat een algoritme vooral niet gebruikt moet worden. In andere gevallen is er echter sprake van zo'n geraffineerde compromittering van een algoritme met methoden en technieken die nog helemaal niet in de wetenschappelijke bladen te vinden zijn, dat we het simpelweg niet weten. Ik neem het de professoren dan ook niet kwalijk.
17-09-2013, 12:30 door N4ppy
Door Overcome: In andere gevallen is er echter sprake van zo'n geraffineerde compromittering van een algoritme met methoden en technieken die nog helemaal niet in de wetenschappelijke bladen te vinden zijn, dat we het simpelweg niet weten. Ik neem het de professoren dan ook niet kwalijk.
Dit graaft wel een groot gat onder open source encryptie software. Als een professor het al niet weet hoe kun je dan nog zeggen open source dus naar gekeken (door iemand die niet door de NSA besmet is).

En het is niet alleen zoals je terecht zegt "compromittering van een algoritme" maar ook de infrastructuur hebben om die uit te buiten.
17-09-2013, 13:05 door Overcome
Door N4ppy:
Door Overcome: In andere gevallen is er echter sprake van zo'n geraffineerde compromittering van een algoritme met methoden en technieken die nog helemaal niet in de wetenschappelijke bladen te vinden zijn, dat we het simpelweg niet weten. Ik neem het de professoren dan ook niet kwalijk.
Dit graaft wel een groot gat onder open source encryptie software. Als een professor het al niet weet hoe kun je dan nog zeggen open source dus naar gekeken (door iemand die niet door de NSA besmet is).

En het is niet alleen zoals je terecht zegt "compromittering van een algoritme" maar ook de infrastructuur hebben om die uit te buiten.

Het gat is niet groter dan bij closed source encryptie software. Immers, het gaat niet over een buggy implementatie (dat bij open source software eenvoudiger geverifieerd kan worden), maar over een buggy algoritme. Dat algoritme verandert niet, of het nou open source of closed source software is. Open source is ook geen remedie tegen algoritmen die door de NSA bewust maar onherkenbaar verzwakt zijn. Open source is eerder een maatregel tegen:

(1) Betere detectiemogelijkheden van uit te buiten zwakten door slecht programmeerwerk.
(2) Betere detectiemogelijkheden van foutief geimplementeerde encryptie algoritmen.
(3) Betere detectiemogelijkheden van overduidelijke backdoors die bij closed source niet eens aan het licht zouden zijn gekomen.
(4) ...

Ik zeg niet dat die zwakten worden gedetecteerd. Ik weet ook wel dat veel open source code niet wordt onderworpen aan een peer review, laat staan een peer review door ervaren programmeurs die geschoold zijn in secure programming technieken. Veel open source software bevat daarom ook de nodige security lekker, zonder twijfel. Bij open source is in ieder geval de mogelijkheid wel aanwezig tot verificatie en dat kan ik van de blobs van closed source fabrikanten niet zeggen. Schneier wijdt er nog wat woorden aan in zijn meest recente nieuwsbrief:

As was revealed today, the NSA also works with security product vendors to ensure that commercial encryption products are broken in secret ways that only it knows about. We know this has happened historically: CryptoAG and Lotus Notes are the most public examples, and there is evidence of a back door in Windows. A few people have told me some recent stories about their experiences, and I plan to write about them soon. Basically, the NSA asks companies to subtly change their products in undetectable ways: making the random number generator less random, leaking the key somehow, adding a common exponent to a public-key exchange protocol, and so on. If the back door is discovered, it's explained away as a mistake. And as we now know, the NSA has enjoyed enormous success from this program.
17-09-2013, 14:57 door KwukDuck
Nou die brief zal toch minstens goed zijn voor 10 minuten schuddebuiken tijdens de lunch pauze @ NSA/GCHQ
18-09-2013, 09:12 door Dick99999
Door Overcome:
Door Dick99999: De originele brief maakt onderscheidt tussen 'to weaken international cryptographic standards" en "to place "backdoors". Zou je over het eerste punt niet kunnen zeggen dat de professoren niet goed hebben opgelet of bijgedragen?

Nee. Het budget van de NSA op gebied van cryptografie loopt in de miljarden. Over de afgelopen decennia hebben ze tientallen en misschien wel honderden miljarden dollars ter beschikking gehad om een voorsprong op te bouwen op gebied van wiskundige aspecten van cryptografie en cryptoanalyse. Er zit een cryptografische kennis bij de NSA die niet aanwezig is bij de academia, hoe slim de professoren ook zijn. Soms, zoals in het geval van Dual_EC_DRBG, ligt het er duimendik bovenop dat er iets gaande is en dat een algoritme vooral niet gebruikt moet worden. In andere gevallen is er echter sprake van zo'n geraffineerde compromittering van een algoritme met methoden en technieken die nog helemaal niet in de wetenschappelijke bladen te vinden zijn, dat we het simpelweg niet weten. Ik neem het de professoren dan ook niet kwalijk.
Ik waag het te betwijfelen of het budget voor crypto in de miljarden loopt. Een snelle zoektocht op Internet leert dat 'slechts' 429 miljoen dollar naar alle R&D ging in 2013. Het is zelfs de vraag of de NSA in staat was de crypto te beïnvloeden (ik heb het niet over de implementatie en backdoors daarin) . Wat dat beterft geloof ik Bruce Schneier. Hij heeft inzage in de originele Snowden documeneten en zegt:
"Trust the math. Encryption is your friend." zie http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance:
Er lijkt dus niets aan de hand met Encryptie. Dat kan betekenen dat de professoren wel goed hebben opgelet, maar niet goed op de hoogte zijn, lijkt mij.
18-09-2013, 13:29 door [Account Verwijderd] - Bijgewerkt: 18-09-2013, 13:35
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure