Οι συζητήσεις γύρω από τα backdoors σε κρυπτογραφημένες υπηρεσίες αναζωπυρώνονται ξανά μετά από αναφορές ότι η κυβέρνηση του Ηνωμένου Βασιλείου επιδιώκει να αναγκάσει την Apple να ανοίξει το end-to-end κρυπτογραφημένο (E2EE) σύστημα αντιγράφων ασφαλείας του iCloud. Λέγεται ότι οι αξιωματούχοι πιέζουν την Apple να δημιουργήσει ένα “backdoor” στην υπηρεσία που θα επιτρέπει στις κρατικές αρχές να αποκτούν πρόσβαση σε δεδομένα χωρίς κρυπτογράφηση. 

Το Ηνωμένο Βασίλειο διαθέτει “εκτεταμένες εξουσίες” για τον περιορισμό της χρήσης ισχυρής κρυπτογράφησης από τεχνολογικές εταιρείες από τότε που ψήφισε μια αναθεώρηση των εξουσιών κρατικής επιτήρησης το 2016. Σύμφωνα με το ρεπορτάζ της Washington Post Βρετανοί αξιωματούχοι έχουν χρησιμοποιήσει τον Νόμο για τις Ερευνητικές Εξουσίες (IPA) για να απαιτήσουν από την Apple να παρέχει “γενικευμένη” πρόσβαση σε δεδομένα, τα οποία η υπηρεσία iCloud Advanced Data Protection (ADP) έχει σχεδιαστεί για να προστατεύει από την πρόσβαση τρίτων, συμπεριλαμβανομένης της ίδιας της Apple. 

Η τεχνική αρχιτεκτονική της υπηρεσίας ADP της Apple έχει σχεδιαστεί έτσι ώστε ούτε καν η ίδια η εταιρεία να μην κατέχει τα κλειδιά κρυπτογράφησης—χάρη στη χρήση end-to-end κρυπτογράφησης (E2EE)—επιτρέποντας στην Apple να ισχυρίζεται ότι έχει “μηδενική γνώση” των δεδομένων των χρηστών της. 

Tι είναι όμως αυτό το “backdoor” και πώς σχετίζεται με την αποκρυπτογράφηση; 

Ο όρος backdoor χρησιμοποιείται για να περιγράψει μια κρυφή ευπάθεια που εισάγεται στον κώδικα ώστε να παρακάμπτει ή να υπονομεύει τα μέτρα ασφαλείας, επιτρέποντας την πρόσβαση τρίτων. Στην περίπτωση του iCloud μια τέτοια εντολή θα επέτρεπε σε Βρετανούς πράκτορες ή αρχές επιβολής του νόμου να αποκτήσουν πρόσβαση στα κρυπτογραφημένα δεδομένα των χρηστών. 

Η κυβέρνηση του Ηνωμένου Βασιλείου αποφεύγει να επιβεβαιώσει ή να διαψεύσει αναφορές για ειδοποιήσεις που εκδίδονται βάσει του IPA, όμως οι ειδικοί ασφαλείας προειδοποιούν ότι μια τέτοια μυστική εντολή θα μπορούσε να έχει παγκόσμιες επιπτώσεις, εάν η Apple αναγκαστεί να αποδυναμώσει την ασφάλεια των δεδομένων όλων των χρηστών της, ακόμα και αυτών που βρίσκονται εκτός Ηνωμένου Βασιλείου. 

Όταν μια ευπάθεια υπάρχει σε ένα λογισμικό υπάρχει πάντα ο κίνδυνος να την εκμεταλλευτούν κακόβουλοι παράγοντες, όπως χάκερ, για σκοπούς όπως κλοπή ταυτότητας, υποκλοπή ευαίσθητων δεδομένων ή ακόμα και επιθέσεις ransomware. 

Ο όρος backdoor χρησιμοποιείται συχνά ως οπτική μεταφορά: 

• Όπως συμβαίνει με τις , φυσικές πόρτες δεν υπάρχει καμία εγγύηση ότι μόνο ο ιδιοκτήτης ή το εξουσιοδοτημένο άτομο θα έχει αποκλειστική πρόσβαση. 
• Αν υπάρχει ένα άνοιγμα, τότε υπάρχει πάντα η πιθανότητα κάποιος άλλος να το χρησιμοποιήσει—είτε αποκτώντας ένα αντίγραφο του κλειδιού είτε σπάζοντας την πόρτα. 
• Το ίδιο ισχύει και για τις ευπάθειες στο λογισμικό ή το υλικό. 

Η έννοια του NOBUS (“Nobody But Us”) backdoor προτάθηκε από υπηρεσίες ασφαλείας βασιζόμενη στην υπόθεση ότι μόνο εκείνες θα είχαν την τεχνική δυνατότητα να εκμεταλλευτούν συγκεκριμένες ευπάθειες. Η τεχνολογική πρόοδος είναι όμως διαρκώς μεταβαλλόμενη και η εκτίμηση των δυνατοτήτων άλλων παραγόντων είναι ανακριβής. Οποιαδήποτε τρίτη πρόσβαση δημιουργεί τον κίνδυνο νέων επιθέσεων, όπως μέσω social engineering, όπου χάκερ στοχεύουν το άτομο που έχει τη “νόμιμη” πρόσβαση. 

Αυτός είναι και ο λόγος που πολλοί ειδικοί απορρίπτουν την έννοια του NOBUS ως μια θεμελιωδώς ελαττωματική ιδέα. Με απλά λόγια, οποιαδήποτε “πίσω πόρτα” δημιουργεί κίνδυνο—άρα η προώθηση τέτοιων λύσεων είναι αντίθετη στη βασική αρχή της ισχυρής ασφάλειας. Οι κυβερνήσεις όμως επιμένουν…

Παρά τις ανησυχίες περί ασφάλειας οι κυβερνήσεις εξακολουθούν να πιέζουν για την ύπαρξη backdoors, γι’ αυτό και οι συζητήσεις επανέρχονται συνεχώς. 

Ένα σημαντικό στοιχείο των backdoors είναι η μυστικότητα. Στην περίπτωση του iCloud, εάν η Apple λάβει μια εντολή για αποδυνάμωση της κρυπτογράφησης βάσει του IPA μέσω ενός “Technical Capability Notice” (TCN) δεν μπορεί να το γνωστοποιήσει νόμιμα. Ο σκοπός του νόμου είναι να διατηρηθούν αυτά τα backdoors μυστικά από τον ευρύτερο σχεδιασμό. 

Ο όρος backdoor χρονολογείται από τη δεκαετία του 1980 όταν χρησιμοποιούνταν για να περιγράψει μυστικούς λογαριασμούς και κωδικούς πρόσβασης που επέτρεπαν μη εξουσιοδοτημένη πρόσβαση σε συστήματα. Στη δεκαετία του 1990 η NSA ανέπτυξε ένα κρυπτογραφημένο hardware, γνωστό ως Clipper Chip που είχε ενσωματωμένο backdoor. Ο σκοπός του ήταν να επιτρέψει στις κρατικές υπηρεσίες να παρακολουθούν κρυπτογραφημένες επικοινωνίες μέσω ενός συστήματος key escrow, όπου τα κλειδιά κρυπτογράφησης αποθηκεύονταν από κυβερνητικές υπηρεσίες για μελλοντική χρήση. 

Η προσπάθεια της NSA να επιβάλει τα Clipper Chips απέτυχε λόγω της αντίδρασης της κοινής γνώμης και της κοινότητας ασφάλειας. Παρόλα αυτά ενίσχυσε τις προσπάθειες των κρυπτογράφων να αναπτύξουν και να διαδώσουν ισχυρό λογισμικό κρυπτογράφησης ως άμυνα ενάντια σε κυβερνητικές παρεμβάσεις. 

Η πρόσφατη πίεση του Ηνωμένου Βασιλείου προς την Apple για τη δημιουργία ενός backdoor στα κρυπτογραφημένα αντίγραφα ασφαλείας του iCloud δεν είναι κάτι που σοκάρει. Οι κυβερνήσεις συνεχίζουν να επιδιώκουν πρόσβαση σε κρυπτογραφημένα δεδομένα, όμως η ύπαρξη backdoors υπονομεύει την ασφάλεια όλων και ανοίγει νέες ευπάθειες για κυβερνοεπιθέσεις. Γι’ αυτόν τον λόγο το ζήτημα των backdoors θα συνεχίσει να αποτελεί αντικείμενο έντονης διαμάχης μεταξύ κυβερνήσεων, εταιρειών τεχνολογίας και υπέρμαχων της ιδιωτικότητας. 

Το Clipper Chip είναι ένα καλό παράδειγμα όπου μια απόπειρα υποχρεωτικής πρόσβασης στο σύστημα έγινε δημοσίως. Αξιοσημείωτο είναι ότι τα backdoors δεν χρειάζεται πάντα να είναι μυστικά. (Στην περίπτωση του iCloud στο Ηνωμένο Βασίλειο, οι κρατικοί πράκτορες ήθελαν να αποκτήσουν πρόσβαση χωρίς οι χρήστες της Apple να το γνωρίζουν). 

Οι κυβερνήσεις πρέπει επίσης να ανησυχούν για τους ξένους backdoors, οι οποίοι μπορεί να δημιουργούν κινδύνους για τους δικούς τους πολίτες και για την εθνική ασφάλεια. Υπάρχουν πολλές περιπτώσεις όπου κινεζικό υλικό και λογισμικό έχει υποψιαστεί ότι φιλοξενεί backdoors τα τελευταία χρόνια. Οι ανησυχίες για τους ενδεχόμενους κινδύνους οδήγησαν κάποιες χώρες, συμπεριλαμβανομένου του Ηνωμένου Βασιλείου να λάβουν μέτρα για την αφαίρεση ή περιορισμό της χρήσης κινεζικών τεχνολογικών προϊόντων, όπως εξαρτημάτων που χρησιμοποιούνται σε κρίσιμη τηλεπικοινωνιακή υποδομή τα τελευταία χρόνια. 

*Με στοιχεία από το TechCrunch.

 

 Ακολουθήστε το OLAFAQ στο FacebookBluesky και Instagram.