Редактор Habrahabr, Geektimes
0,0
рейтинг
23 октября 2014 в 12:23

Разработка → ФБР обратилось к Конгрессу США с просьбой законодательно ослабить защиту iOS и Android устройств

image

На Хабре недавно публиковалась заметка о том, что ФБР выступает против шифрования пользовательских данных на смартфонах. В частности, директор ФБР Джеймс Коуми (James B Comey) выступил с речью 16 октября в Брукингском институте (Вашингтон), пытаясь донести до законодательных органов и общественности точку зрения органов безопасности.

Насколько можно понять, ни те, ни другие не прониклись, и теперь ФБР обратилось в Конгресс, с просьбой законодательно ослабить защиту мобильных устройств и приложений. А именно — внести поправки в некоторые законы, разрешая (а точнее — заставляя) производителям оставлять лазейки в ПО смартфонов и планшетов, для государственных органов безопасности.

В частности, речь идет о законе CALEA (Communications Assistance for Law Enforcement Act), принятом в 1994. В этом законе операторов стационарной телефонной связи обязывали оставить возможность для органов безопасности подключаться к любым линиям.

В этом законе, по понятным причинам, нет упоминаний о беспроводной передаче данных, о шифровании на сотовых телефонах и прочих новых типах связи и защиты от прослушивания. Результат — у органов власти есть юридическое право получать информацию от операторов связи, но во многих случаях отсутствует техническая возможность прослушать нужный канал связи. «У нас есть юридическое право перехватывать и прослушивать коммуникации и получать информацию по судебному ордеру, но часто отсутствует техническая возможность делать это», — сообщил директор ФБР в упомянутом выше обращении.

Интересно, что ранее Коуми выступал против разного рода бекдоров, выступая за введение прозрачной процедуры подключения органов безопасности к отдельным устройствам и каналам связи. Сейчас, похоже, его позиция изменилась.

ФБР просит Конгресс изменить CALEA, добавив несколько поправок, позволяющих оставить лазейку для ФБР, NSA и прочих товарищей, лазейку, позволяющую прослушивать линии связи и отдельные устройства.

Некоторые политики в США уже выступили против таких нововведений. Но битва, похоже, только начинается.

Via theverge
marks @marks
карма
170,2
рейтинг 0,0
Редактор Habrahabr, Geektimes
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (139)

  • +66
    В итоге террористы будут использовать кастомные прошивки со включенным шифрованием везде, а честные граждане — дырявые стоковые :) Напоминает баталии о праве на ношение/хранение оружия.
    • –16
      Хорошим террористом/хакером тоже надо еще стать. Наверно хотят хотя бы во время тушить большую часть спичек/костров, а не пожары по всей стране.

      А может просто для людей выступление, чтоб успокоить, ваши разговоры и переписки приватны. Или даже для тех же террористов, чтоб начали болтать свои планы забыв про «Не телефонный разговор» или «Курица на месте, пора жарить картошку».
      • +2
        Да бросьте, готовую прошивку влить в телефон семи пядей во лбу быть не надо, любой старшеклассник справится, если инструкцию дать.

        Да, собственно, SIP поверх TLS в большинстве случаев уже достаточно для приватного разговора, если еще и журнал звонков и контакты в SIP-приложении не общие, а свои, в отдельной зашифрованной базе — компетентные органы уже без терморектального криптоанализа ничего сделать не смогут…
        • +1
          готовую прошивку влить в телефон семи пядей во лбу быть не надо

          А в той прошивке точно нет бекдоров? Или наоборот — ее пользователи получают особое внимание со стороны трехбуквенных контор?
          SIP поверх TLS в большинстве случаев уже достаточно для приватного разговора

          А для TLS надо PKI. Соответствующие органы наверняка могут подписать нужный сертификат и сделать MITM. А еще по какой-то причине под TLS редко делают PFS…
          • 0
            Бэкдоры сейчас многие производители прямо с завода лепят в свои прошивки, лучше, конечно, вариант собирать из исходников, тогда единственный вариант спалиться перед трехбуквенными конторами — если они захотели посмотреть твои фото в ванной и не получилось…

            А для TLS можно использовать и самоподписанные сертификаты на своем сервере, мы же сейчас говорим не о сервисе «для всех», а о Специальном Сервисе для Злых Террористов, которые используют кастомное SIP приложение.
          • 0
            Самоподписные сертификаты. ZRTP.
        • –1
          С такими комментариями вас могут завербовать куда и я не про гос. органы по безопасности страны. Мало ли кто читают эти интернеты)

          Я вот тоже могу гостевую написать на php + mysql по инструкциям, книгам и статьям. Что там писать то? Только вот эта гостевая будет вся SQL-инъекциях и других радостях безопасности, еще может и грузить весь сервер.
          • –2
            Я минимально публикую свои данные в социальных сетях, максимум можно раскопать ФИО и email на неподконтрольных нашему правительству серверах. А вербоваться непонятно куда я и сам не настолько дурак…
        • +1
          SIP поверх TLS недостаточно для приватного разговора. Нужен ZRTP.
          • 0
            Главное, что это можно упаковать в свое приложение и поставить на стоковый андроид, даже если он сам будет дырявый как дуршлаг. Таким образом, кому нужно сделать приложение для обсуждения планов захвата мира, те со своей задачей справятся и так. А кому интересно на телефона блондинок пошариться — с дырками это будет гораздо удобнее, да.
            • 0
              Есть, например, CSipSimple, который можно запаковать как угодно. Там есть и SIP over TLS, и SRTP, и ZRTP.
            • 0
              Если стоковый андроид будет дырявый, то тут уж никакими приложениями его не заткнешь.
    • 0
      … и никто не подумает о том, что закладки бывают не только программными, но и аппаратными
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Комментарий powered by NSA public relations
  • +26
    Что то между строк читается как «iOS и Android очень защищённые, даже ФБР в панике» но вот верится уже с гораздо более сильным трудом.
    • +3
      AOSP вполне себе безопасен, на мой вкус, если не ставить GApps. Вполне можно поставить стерильный Cyanogenmod, влупить F-Droid, и жить себе спокойненько.
    • 0
      не стоит списывать со счетов и такой вариант:
      одни взрослые дядьки (apple) решили отжать других взрослых дядек (спецслужбы) в деле контроля леммингов.
      А это ведь информация и власть. А в определенных кругах все чаще обсуждаются государства без географических границ, построенные на принципах корпораций.
      Так что вариант того, что это не постановка а реальный передел вполне имеет право на жизнь, имхо. Упреждая контраргумент по поводу того что спецлужбы захотят и нагнут apple — мы живем в мире капитала и уже есть немало примеров того как корпорации влияют на правительства.
      • +1
        \Диванный критик mode on\
        Влиять конечно влияют, но вот что бы всецелостно управлять, это вряд ли.
        Я конечно далёк от экономики США, но на сколько мне известно по большей части банковская система этой страны живет лишь за счёт беспроцентных кредитов правительства и вся экономическая система США вертится вокруг оного. Так что, какой бы сильный капитал не имела корпорация перейди она дорогу правительству ее ждут внушительные проблемы, особенно это касается Apple, рынок которых в большей степени заточен под американских потребителей. Те у кого законотворческая сила и деньги, те страну и танцуют ;)
        \Диванный критик mode off\
  • +22
    ФБР просили мастер пароли у АНБ, но те зажали.
    • 0
      Не так далеко от правды :) В Штатах в важнейших структурах могут существовать никогда не пересекающиеся множества.
  • +5
    Эх, как им не повезло. Ведь находясь в другой стране они могли бы тупо запретить шифрование.
    • 0
      Вряд ли:
      1. Люди будут устраивать всякие петиции и т. д.
      2. У Samsung есть регион лок, догадайся, что я собираюсь сделать с новым немецким Note 4
      3. Конкуренты — запретят шифрование делать Apple — так сделает Samsung
      4. Сторонние программы. Я уже давно пользуюсь RedPhone и не собираюсь с него уходить

      Так что шифрование, привязанное к определенной локации не самая лучшая идея.
      • 0
        Вы не поняли. Это спецслужбы и законодатели должны быть в правильной стране, чтобы способ max_mara сработал :)
        • +1
          Намек на русские спецслужбы теперь понятен, но тем не менее мы все же используем кастомы и VPN… Все равно даже если запретить, обычные пользователи не смогут, но айтишники смогут спокойно эти запреты обходить… А раз айтишники смогут, то и терористы тоже. Итог — головная боль пользователям и прежде существующие терористы.
          • +8
            Если запретить шифрование, то у любому, у кого найдут шифрования можно влепить двушечку. Итого — цель достигнута:
            Пользуешься шифрованием? Значит террорист и на тебе двушечку.
            • +1
              Вы про Англию сейчас?
              • +2
                В Англии шифрование уже как бы не очень актуально в плане защиты от государства. Я про то, как это было бы (или будет...) в России.
              • 0
                Вы бы прочитали сперва сам акт.
                Суть в том что вас могут посадить если вы не предоставили ключи к информации которая связана с расследованием по секции 49 по запросу полномочных органов.
                А никак не за использование вами шифрования как такового.
                • 0
                  Спасибо за ссылку, но у меня кровь из глаз течет от юридического английского.
                  Из того, что я прочитал, следует что если у меня на компьютере есть зашифрованный раздел, а представитель полномочных органов решит, что там детское порно, то я обязан дать ему доступ у этому разделу. Иначе — тюрьма.
                  Если вы внимательно прочитали и поняли этот акт, ответьте, пожалуйста:
                  1) требуется ли решение суда для этого?
                  2) как будут развиваться события в сценарии: прилетел бородатый человек в Лондон, в багаже ноут, на ноуте трукрипт-файл. Диалог с таможенником/полицейским, которого вызвал таможенник:
                  — дайте пароль;
                  — не дам, там фото моей жены в купальнике, не хочу чтоб посторонний мужик пялился;

                  Что произойдет дальше?
                  • 0
                    1) Я не юрист но по опыту могу сказать что просто так никто у вас ничего просить не будет, только в рамках расследования и только некоторый список органов (таможня в него входит).
                    2) Они должны предоставить весомую причину требования, а бородатый человек собственно в защиту себя причину не раскрывать данные.
                    Что произойдёт дальше зависит только от таможенника и от его желания заниматься бумажной волокитой (возникает оно крайне редко при отсутствии каких либо реальных причин).

                    З.Ы. Ни разу у меня ноут не проверяли на наличие чего либо.
                    • +1
                      Т.е. все отличие сводится к вере в непогрешимость английских полицейских? Что-то я не готов на неё положиться.
                      Кстати, наш разговор напомнил мне про один известный трекер. Распространение порнухи в России запрещено, тренером пользуется огромное количество людей, а осудили только одну девушку недавно. Она скачала фильм и осталась на раздаче.
                      • 0
                        Причем здесь непогрешимость? Если вы не проходите по конкретному или смежному делу по 49 секции то вероятность того что вас тронут крайне мала.

                        З.Ы. Вот например как в ГБ полиция работает с пьяной дракой 2-х лиц? А очень просто — если никто витрины и машины не бил, и телесных повреждений не нанёс то просто рассадят по сторонам и подождут пока успокоятся.
                        • НЛО прилетело и опубликовало эту надпись здесь
                        • +1
                          Да у нас тоже если не пойдёшь про конкретному делу, то вероятность что кто-то будет проверять твой комп на распространение пиратской музыки или порнухи на трекера очень мала. Однако она есть и тут уже каждый — виновен. Всё ещё остаётся ситуация, при которой достаточно на словах назвать человека террористом-педофилом, чтобы он демократично сел на 2 года за отказ дать доступ к фото жены.

                          ЗЫ ну а у нас просто проедут и сделают вид, что ничего не видели. И что?
                          • –1
                            На словах? Вы ничего не путаете? За клевету также прекрасно сесть можно.

                            А то что не нужно цепляться за стереотип что на западе можно сесть за любую мелочь.
                            + ИМХО лучше пусть рассадят по разным углам и успокоят чем проигнорируют.
                            • 0
                              Это не клевета, это выдвижение обвинения. Когда в аэропорту требуют распотрошить рюкзак и извлечь все его содержимое — это же не клевета, это обычная процедура обеспечения безопасности — работнику службы безопасности показалось, что эта куча проводов похожа на бомбу и он потребовал все показать. И никто не обвиняет его в клевете. Хотя опять же, меня оскорбляет, что какой-то тип заставляет меня разуться и пройти через раздевающий сканер.
                              А завтра ему покажется подозрительным ноутбук и он захочет его проверить.
                              Если ужьвы сослались на оригинал юридического документа — изучите его, давайте ответы на те вопросы, что я задавал раньше. Хотя бы себе дайте.
                        • 0
                          С каких это пор стало нормальным полагаться в таких делах на вероятность?
                    • +1
                      Смотрите какое чудесное сегодня в новостях
          • 0
            М-да, ненавижу объяснять шутки.
            • +2
              Может шутка такая?

              P.S.: меня за любое слово уже минусуют, не расстраивайтесь.
      • +1
        Поглядел RedPhone, поставил с маркета.
        Для активации робот мне позвонил, все получилось.

        Очевидно что у них свои серваки для установления связи и обхода натд, это расходы, не считая поддержки софта.
        В приложении ни выжу никакой рекламы и предложения чето купить.
        И проект вовсе не новый.

        В чем их профит не могу понять, и это смущает.
  • +2
    Если этот бред всё же узаконят, то Sailfish OS может получить от этого рост популярности, потомучто находятся не в США. Другое дело, что такие устройства могут запретить к продаже или и вовсе сделать вне закона.
    • –2
      Большей части населения, к сожалению, глубоко пофиг — следит за ними правительство или нет.
      • НЛО прилетело и опубликовало эту надпись здесь
  • +11
    Сейчас ФБР откажут, все успокоятся и поверят, что все хорошо.

  • +12
    Джеймс Коуми: «Уважаемые члены Конгресса! Я прошу вас обратить внимание, что излишний уровень защиты систем iOS и Android не позволяет На, ФБР, максимально эффективно вести свою работу по защите наших граждан! Кстати, конгрессмен N, вам через 7 секунд СМС придет, но это от жены по поводу ужина, может подождать… Так вот, о чем я… Ах да...».
  • 0
    А пока мы обсуждаем эту крайне малозначительную утку, где-то происходит все самое интересное…
  • +11
    А разве этот пост не должен быть на Geektimes?
    • +29
      Мне кажется нужна кнопка «проголосовать за перенос поста на geektimes»
      • –2
        В футере есть такая «кнопка»: «Служба поддержки».
        • 0
          Это не то. Прям такую кнопку, по-жирнее, чтоб было всем видно.
        • +7
          Вы предлагаете по каждому посту, на счет которого возникли сомнения, обращаться в службу поддержки?
    • +9
      Вообще, граница между этими двумя ресурсами слишком расплывчата. И из-за того, что аудитория в общем-то одинаковая, то система фильтрации обществом с помощью голосования тоже не работает. Если мне понравится статья, я все равно ее плюсану, даже если она должна быть не на Хабре, а на GT.
    • –1
      Похоже, что теперь эта надпись будет в каждом втором топике. А что вообще должно остаться на Хабре, хотелось бы знать.
      • 0
        То, что раскрывает техническую сторону какого-либо вопроса.
        • –1
          Ок, давайте возьмем для примера топик Ubuntu 14.10.... Его на GT отправляем?

          • 0
            Да, это просто новость.
            • 0
              Ок, а если бы там были «технические» подробности как обновить систему с предыдущей версии и исправить что-то, что сломалось?
          • 0
            Посмотрите на Хаб этого поста. «Настройка Linux». По-моему этот пост вообще никак не связан с этих Хабом. Вот поэтому ему место на GT, где как раз есть подходящий хаб: «Операционные системы».
            • 0
              По поводу того, что Хаб не подходит, я согласен. Но вопрос не в этом, а в том, какого типа топики для Хабра. Вот коллега выше считает, что все новости нужно убрать на GT. Это интересно, учитывая, что они составляют бОльшую часть контента Хабра. Получается, что на Хабре скоро и читать будет нечего особо и пора, действительно, переходить на GT.
  • –2
    Хороший ход, теперь они всех убедили что iOS и Androd надежно шифруют данные.
    Наедятся что все «умные» кинутся использовать только эти телефоны.

    Только предположение. Но все же…
  • +4
    Не бывает безопасности, которая «никто взломать не может, но для органов — бекдор». Если информацию могут прочитать ФБР, значит ее может прочитать злоумышленник Петя, а злоумышленник Вася еще и вытащит номера кредиток и продаст их. Тут нужно выбирать, либо любой педофил/террорист/убийца может зашифровать данные так, что службы не взломают, либо службы поймают террориста, но у простого парня Джона так же могут увести все его пароли и собрать компромат на владельца бизнеса.

    Мир не идеален и ограничить законом оборот криптографии не получится, ровно как и запретить всяким плохим людям лезть в бекдор который «специально только для ФБР», то я предпочитаю полное и неограниченное шифрование. Все равно люди, которым надо — смогут этим воспользоваться (какой толк соблюдать закон о шифровании, когда собираешься украсть миллион?), а вот обычные пользователи пострадают.
    • +3
      Я бы перефразировал так:
      Тут нужно выбирать, либо любой педофил/террорист/убийца может зашифровать данные так, что даже службы не взломают, либо любой педофил/террорист/убийца сможет у мальчика Джона украсть все пароли/интимные фотки/кредитки/шантажировать его/выслеживать и убивать.
    • 0
      Тут нужно выбирать, либо любой педофил/террорист/убийца может зашифровать данные так, что службы не взломают


      Разве бывает абсолютная безопасность? У любой системы всегда есть уязвимости и недостатки; взлом можно только усложнить, но не исключить.

      но у простого парня Джона так же могут увести все его пароли и собрать компромат на владельца бизнеса


      Можете это прокомментировать?
  • +2
    Все спецслужбы одинаковы. Вместо того, чтобы предпринимать шаги по выходу из кризиса доверия к ним со стороны обычных людей, ничего лучшего не находят, как проталкивать «доверие» законодательно.
    Похоже кризис доверия к спецслужбам носит глобальный характер…
    • 0
      Кризис доверия тут не причем, сама инициатива провальная (выше правильно подметили, что бэкдором пользоваться могут не только службы). Я не против взвешенных инициатив, которые реально помогут обеспечить большую безопасность, но сабж можно трактовать как «дайте нам ключи от всех дверей, и молитесь, чтобы у воров не было дубликатов».
      • 0
        Содействие общества способно принести гораздо больше пользы безопасности страны, чем возможность получать не санкционированный доступ к чей-то приватной информации. Примеров тому масса…
        Приватная информация может быть нужна только для того, чтобы манипулировать конкретным человеком или группой людей. То есть исключительно для политических целей. Но спецслужбы однозначно не должны заниматься политикой. Злоупотребление своими возможностями в политических целях является причиной такого отношения к ним.
      • 0
        выше правильно подметили, что бэкдором пользоваться могут не только службы


        В предыдущих версиях iOS (до 8.0) у Apple была возможность дешифровать пользовательские данные собственным ключом (см. этот документ, с. 8-9). Расскажете, как эту возможность эксплуатировали «не только службы» (ведь для запроса незашифрованных данных нужно судебное решение, сам ключ никому не передается)?
        • 0
          Не понимаю логику вашего вопроса. Читали между строк?

          «выше правильно подметили, что бэкдором пользоваться могут не только службы» — установка бэкдора для спецслужб влечёт за собой его использование и другими лицами. Причём тут Эпл с их ключом я не понимаю.
          • –2
            установка бэкдора для спецслужб влечёт за собой его использование и другими лицами. Причём тут Эпл с их ключом я не понимаю


            Я привел пример бекдора в виде универсального ключа производителя. Как на практике другие лица могут воспользоваться данным бекдором?
            • +1
              Т.е. вы полагаете, что бэкдоры для спецслужб по-умолчанию лишены риска быть эксплуатированными третьими лицами?
              • +1
                А знаете, у используемого всеми PKI тот же недостаток — тот, кто сопрет приватный ключ у любого из множества доверенных любой ОС и любым браузером CA и, помимо этого, сможет вклиниться в путь трафика множества клиентов, тот легко будет разбирать SSL/TLS — например, от вас до вашего банка.
              • –1
                Нет. Я полагаю, что внедрение бекдора для спецслужб не приводит автоматически к тому, что к зашифрованным данным может получить доступ всякий желающий. Поэтому я ранее задал вопрос: какие есть свидетельства того, что бекдор в предыдущих версиях iOS эксплуатировался кем-то еще (кроме спецслужб)?

                Если Вы считаете, что нужно обеспечивать максимальную безопасность при работе с данными (т. е. увеличение «поверхности атаки» не допускается во всяком случае), то на каждом предприятии, где работают с конфиденциальной информацией, нужно заколотить досками все окна (через них можно наблюдать за происходящим в помещениях), каждый час (а лучше каждые 15 минут) производить поиск устройств-«закладок» и личный досмотр работников, ввести омерту (чтобы государственные органы не могли получить информацию от работников посредством правового принуждения). Но такого не происходит, т. к. защита информации предполагает баланс между защитными мерами и рисками, а доверенные системы постоянно делают из недоверенных элементов.
                • 0
                  Я не помешан на конфиденциальности, посему план тотального контроля за безопасностью данных мне чужд. Я не думаю, что правильно находить аргументы в пользу конфиденциальности, нужно делать наоборот — где доказательства, что бэкдоры приносят пользу? Если бы ФБР обратилась к Конгрессу, приведя что-то типа «благодаря быстрому доступу к данным Васи Пупкина, мы смогли предотвратить кражу/убийство/теракт, а Васю привлечь к ответственности, ведь он не мифический», я бы ещё подумал над целесообразностью идеи.
                  • 0
                    Такие примеры будут, конечно. А уж если опасный террорист был ликвидирован при задержании -вообще элементарно все состряпать.
            • 0
              Да, если украсть\подобрать этот ключ или незаметно пронести в офис Apple паяльник.
              • 0
                Подобрать? Вряд ли, если ключ достаточной длины. Украсть (вернее, скопировать)? Возможно, однако меры безопасности на стороне производителя никто не отменял. Следовательно, «украсть» ключ может лишь серьезный атакующий, а не всякий (вор относится к последней категории). Но серьезный атакующий таким же образом может получить доступ к любым «облачным» данным на стороне производителя и уже может преодолеть любое шифрование на пользовательских устройствах (подсмотреть пароль с помощью скрытой камеры, установленной в квартире пользователя, и т. п.). Выходит, что нельзя рассуждать о том, что внедрение бекдора меняет статус системы с «безопасно» на «решето», т. к. абсолютной безопасности не существует.
                • 0
                  что внедрение бекдора во всяком случае меняет


                  Fixed.
                • –1
                  У всяких «универсальных» не аппаратных ключей есть большой недостаток. Любой пользователь имеет в своем распоряжении расшифрованные данные, зашифрованные данные и алгоритм шифрования/дешифрования, это сильно упрощает получение «тайного» ключа.
                  У аппаратных ключей недостаток тот же, просто получить алгоритм там значительно труднее.
                  • –1
                    Любой пользователь имеет в своем распоряжении расшифрованные данные, зашифрованные данные и алгоритм шифрования/дешифрования, это сильно упрощает получение «тайного» ключа.


                    Для AES это не работает. Более того, у атакующего всегда есть образцы незашифрованных данных – служебные файлы операционной системы и т. п.
                    • –1
                      AES — это симметричный шифр, если там будет AES, то вообще нужно на порядок меньше телодвижений. Так что для AES это работает еще в большей мере.
                      • –1
                        то вообще нужно на порядок меньше телодвижений


                        А Шнайер уже знает? Ведь AES считается стойким к «known-plaintext attack».
                        • –1
                          Перечитайте мой комментарий. AES симметричный, это значит что если у компании X есть ключ чтобы расшифровать, данные, то у меня есть ключ чтобы эти данные зашифровать, и этот ключ — один и тот же. Т.е. мне надо просто вытащить его из памяти. А раз мы говорим об «универсальном» ключе — то значит я могу вытащить данные со всех телефонов.
                          • –1
                            Перечитайте мой комментарий. AES симметричный, это значит что если у компании X есть ключ чтобы расшифровать, данные, то у меня есть ключ чтобы эти данные зашифровать, и этот ключ — один и тот же. Т.е. мне надо просто вытащить его из памяти. А раз мы говорим об «универсальном» ключе — то значит я могу вытащить данные со всех телефонов.


                            Вы вообще читали документ, ссылку на который я дал ранее?
                            • –1
                              Как это меняет что-то?
                              Утверждение о том, что злоумышленник может получить достаточно легко мастер-ключ, при условии что мастер-ключ используется для симметричного шифрования и шифрование происходит на устройстве пользователя (и ключ хранится и используется не исключительно в аппаратно защищенной области) — оно не меняется в зависимости от чего либо, если ключ попадает в оперативку пользовательского девайса — девайс можно рутовать и ключ вытаскивать.
                              • –1
                                Данные можно зашифровать одним ключом, который, в свою очередь, можно зашифровать другими ключами (в том числе посредством несимметричных алгоритмов), одним из которых будет ключ производителя (он может генерироваться для каждого устройства индивидуально), а другой будет пользовательским.
                                • –1
                                  Так это уже не мастер ключ с AES который вы тут предлагали.
                                  И в любом случае любая схема с бекдором делает возможным использование этого бекдора злоумышленниками. Из пентагона и NSA информацию сливают, а вы считаете что заинтересованные лица не сольют ее из Apple? Это наивно.
                                  • –1
                                    Я его предлагал только в контексте «known-plaintext attack».
                                  • 0
                                    И в любом случае любая схема с бекдором делает возможным использование этого бекдора злоумышленниками. Из пентагона и NSA информацию сливают, а вы считаете что заинтересованные лица не сольют ее из Apple? Это наивно.


                                    Читайте еще раз:

                                    Но серьезный атакующий таким же образом может получить доступ к любым «облачным» данным на стороне производителя и уже может преодолеть любое шифрование на пользовательских устройствах


                                    Поэтому я ранее задал вопрос: какие есть свидетельства того, что бекдор в предыдущих версиях iOS эксплуатировался кем-то еще (кроме спецслужб)?
                                    • 0
                                      Я вам говорю «если оставлять ключ от дома под камнем на крыльце — это сильно снижает безопасность», а вы мне «приведите примеры ограблений, когда грабители достали ключ из под камня». Нет нужды приводить примеры если очевидно ослабление безопасности.
                                      • 0
                                        если оставлять ключ от дома под камнем на крыльце — это сильно снижает безопасность


                                        Ключ под камнем на крыльце – это ключ в TPM без PIN и иных мер защиты. Бекдор для спецслужб – это что-то вроде второго ключа в банковской ячейке, хотя аналогия все равно не совсем корректная.

                                        «приведите примеры ограблений, когда грабители достали ключ из под камня»


                                        Приведите примеры хищений, когда вор, столкнувшись с запертой дверью, нашел банк, в котором хранится копия ключа, выкрал из банка копию ключа, а затем открыл этой копией дверь, вместо того, чтобы просто разбить окно.

                                        Нет нужды приводить примеры если очевидно ослабление безопасности.


                                        Если рассуждать с абсолютной точки зрения, то нет смысла шифровать данные без грамотной организации физической, организационной и правовой безопасности информации. Однако недостатки в последних не делают шифрование бессмысленным вообще.
                                        • 0
                                          Ну даже ключ в банке для дяди милиционера — это все равно ослабление безопасности.
                                          Я бы лучше послушал примеры о том, что опасного преступника поймали именно благодаря подобным бекдорам.
                                          • 0
                                            Поймать мало, нужно еще и доказать. Давайте я лишь процитирую известного сторонника последних радикальных мер Apple по защите приватности:

                                            I have no doubts that the FBI (and other agencies) have used the data they used to be able to dump to solve crimes. In fact, I know this to be true. I’ve helped them do this a number of times in the past myself; when my forensics techniques came out, they issued a major deviation within their agency just to allow their agency to use my tools. As early as 2008, I was working with the lab director of one of the FBI’s regional computer forensics labs, who sent me an email citing these two specific instances where my tools were crucial:

                                            As far as cases:

                                            1) Received a Iphone on a terrorism matter. The phone contained photos of unknown associates, sms messages of value and phonebook information of value. Because of the iphone, law enforcement was able to identify previous unknown terrorists.

                                            2) On a Child assault case, the subject, a friend of the family’s, assaulted a sleeping 13yr female. He took pictures of the entire incident with his iphone. After the assault he was nervous and threw his phone in a dumpster. The iphone was recovered from the dump. After charging, all the pictures were recovered. The victim did not report the incident for a couple of weeks, there was no physical evidence. The only evidence is the victim’s testimony and the iPhone.

                                            Thank you
                                          • 0
                                            Ну даже ключ в банке для дяди милиционера — это все равно ослабление безопасности.


                                            Я шифрую файловую систему, но не рву волосы на голове из-за того, что понимаю, что это шифрование может обойти любой, кто сможет тайно войти в мою квартиру и установить кейлогер.
                                            • 0
                                              Для этого нужна физическая компрометация моего компьютера, в случае с бекдором это уже сделано.
                                              • 0
                                                Нет, не сделано, т. к. бекдор не позволяет выхватить устройство из рук владельца (или получить устройство иным образом). Физический доступ к устройству получает каждый, кто берет это устройство в руки, однако не каждый, взявший устройство в руки, может получить доступ к зашифрованным данным на этом устройстве.
                                                • 0
                                                  Физический доступ нужен чтобы как раз сделать возможным утечку данных (как то поставить кейлоггер и т.д..). А бекдор — это уже и есть установленная дырка для утечки, значит все что нужно было от «физического доступа» мы получили из коробки.
                                                  • 0
                                                    Допустим, что в BitLocker есть бекдор в виде универсального ключа. Вы получили физический доступ к компьютеру, данные на котором защищены с помощью BitLocker, однако о существовании бекдора Вы не знаете (а если и знаете, то не можете использовать этот бекдор). Что дальше? Только кусать локти.

                                                    значит все что нужно было от «физического доступа» мы получили из коробки


                                                    Но получить «физический доступ» (в том смысле, в котором это понятие используете Вы) гораздо проще, чем получить универсальный ключ. Вор не пойдет за копией ключа в банк, если он может разбить окно.
                                                    • 0
                                                      Я несколько о другом. Если есть бекдор — то мне уже физический доступ не нужен, я могу все сделать удаленно. А вот если бекдора нету — мне зачастую нужен физический доступ (или бекдор или бага в софте, который позволит выполнить нужный код).
                                                      • 0
                                                        то мне уже физический доступ не нужен, я могу все сделать удаленно


                                                        Мы рассуждаем о бекдоре, который не обеспечивает удаленный доступ к зашифрованным данным (но обеспечивает доступ к локальным зашифрованным данным).
                                                        • 0
                                                          Хорошо, я максимально просто опишу претензию:
                                                          Вводя бекдор (любой) — вводится дополнительный элемент на который можно проводить атаку, кроме того добавляется человеческий фактор.

                                                          Вы говорите что если есть бекдор или нет бекдора — то все равно можно своровать данные способом X, но для меня приемлемее иметь множество уязвимостей K чем множество уязвимостей K+возможность эксплуатации бекдора.
                                                          • 0
                                                            но для меня приемлемее иметь множество уязвимостей K чем множество уязвимостей K+возможность эксплуатации бекдора.


                                                            Проблема в критерии приемлемости. Он не может быть критерием минимальности, т. к. снизить риски до нуля невозможно (абсолютной безопасности нет), а попытки минимизации некоторых технических и многих нетехнических рисков порождают новые риски (например, минимизация некоторых рисков ухудшает удобство пользования, а ухудшение удобства пользования повышает риск неправильных действий, халатности). Следовательно, критерием приемлемости может быть баланс защитных мер и рисков (возможность восстановления пароля, возможность восстановления доступа по «кворуму ключей» аналогичным образом влекут появление новых рисков по сравнению с системами, где указанные методы восстановления отсутствуют, однако это не является причиной для полного отказа от таких или любых других стратегий восстановления доступа).

                                                            Правильный (с моей точки зрения) вопрос будет звучать так: нужно ли давать государству доступ к зашифрованным данным? И ответ на этот вопрос лежит вне технической области, а аргумент «любое увеличение „поверхности атаки“ – плохо» я только что разобрал.
                                                            • –1
                                                              Он не может быть критерием минимальности, т. к. снизить риски до нуля невозможно
                                                              Это какой-то абсурдный аргумент. Мы не можем жить вечно, поэтому не стоит пытаться увеличить продолжительность жизни. Мы не можем купить автомобиль за 0 денег, поэтому искать более низкую цену смысла не имеет и т.д…

                                                              Все остальное соответственно неверно т.к. базируется на первом утверждении которое некорректно.
                                                              • –1
                                                                Ну что за бред? Вы не можете переходить дорогу в полной безопасности, но это не значит, что нужно всю жизнь сидеть дома. Любой переход дороги – это баланс между интересом человека, ради которого он желает попасть на другую сторону дороги, и риском быть сбитым автомобилем. Нельзя свести к минимумому последнее, но и дома всю жизнь никто не сидит.
                                                                • –1
                                                                  Мы не можем жить вечно, поэтому не стоит пытаться увеличить продолжительность жизни.


                                                                  Мы не можем жить вечно, но не можем добиться и максимальной продолжительности жизни из возможных, т. к. вредные факторы, негативно влияющие на продолжительность жизни, часто существуют вне зависимости от воли человека.
                                                                  • –1
                                                                    Ну и здесь — я хочу снизить уровень вероятности взлома до минимально возможного, т.к. рассматриваемые вредные факторы, увеличивающие эту вероятность, мне абсолютно не нужны.

                                                                    Хотя касательно примера я искренне надеюсь что в ближайшие десятилетия мы все же научимся продлять жизнь.
                                                                    • –1
                                                                      я хочу снизить уровень вероятности взлома до минимально возможного, т.к. рассматриваемые вредные факторы, увеличивающие эту вероятность, мне абсолютно не нужны


                                                                      Я уже давал комментарии по схожему утверждению. С одной стороны, для минимизации рисков нужно вставить во все окна непрозрачные стекла, на вход в помещение посадить самого свирепого охранника с автоматом и предпринять иные меры, которые в обычной ситуации выглядят лишними. С другой стороны, чем строже меры, тем ниже удобство, а значит риск нарушений режима безопасности увеличивается. Не будет ситуации, когда Вы сможете сказать «ну все, больше мер точно не нужно» или «ну вот, люди не игнорируют предписания в пользу удобства», если Вы оцениваете минимальность рисков, а не их баланс с защитными мерами.
                                                                      • –1
                                                                        Вы приводите несравнимые вещи. Черные стекла для меня — это снижение удобства, а вот посыл государства нафиг и запрет воровать мои данные — это мне нисколько удобство не снижает, так что вполне может быть применено.
                                                                        • –1
                                                                          О! Вот Вы и подтвердили, что разрешение или запрет на бекдоры для спецслужб относится к политическим проблемам. А непрозрачные стекла еще и являются мерой по защите информации ;-)
                                                                          • –1
                                                                            Я это и не отрицал, конечно когда государство лезет ко мне — это политика. Но еще это однозначно увеличивает вероятность утечки моих данных. Поэтому это вдвойне плохо.
                                                                • –1
                                                                  Вы теряете нить разговора, то приводите пример чего-то где нельзя достичь абсолютной уверенности, теперь приводите противоположный пример. В случае с дорогами — я например хочу минимизировать риск путем запрета членовозов с мигалками, кстати говоря.
                                                                  • –1
                                                                    Еще раз. Эффективность защитных мер не зависит только от количества рисков, такая эффективность зависит от множества факторов; возможна ситуация, когда большее число рисков приводит к более эффективной защите. Например, во многих организациях является актуальной угроза утраты пароля работником, что приводит к необходимости внедрения механизмов восстановления доступа, а это, в свою очередь, увеличивает число рисков; с другой стороны, защитные меры в данной ситуации не могут быть признаны эффективными, если в случае утраты пароля работником данные будут утрачены.

                                                                    я например хочу минимизировать риск путем запрета членовозов с мигалками, кстати говоря


                                                                    Не получится. Есть еще пьяные водилели, невнимательные водители и другие категории водителей. Минимума здесь не будет, но будет баланс, если Ваш запрет приведет к достаточному уменьшению количества ДТП.
                                                                    • –1
                                                                      Уменьшить риск получится вполне, с чего бы не получится? Ну называйте это балансом, хоть словом «мандарин» назовите, пока суть в уменьшении риска — все вполне работает. А то получается «Давайте не будем бороться с лихорадкой Эбола, ибо все равно есть рак, малярия, вич, грипп и вообще ДТП убивают больше людей.» Если есть более большие проблемы — это не значит что не стоит бороться с меньшими.
                                        • 0
                                          Бекдор для спецслужб – это что-то вроде второго ключа в банковской ячейке, хотя аналогия все равно не совсем корректная.
                                          Аналогия достаточно корректная, с одним уточнением: второй ключ у вас лежит не в какой-то там никому неизвестной банковской ячейке, а висит в связке других таких таких же ключей у ключника. В литературе история про то как ключ от какой-либо двери воровался у ключника встречается далеко не одна, думаю что и в реальной жизни это не являлось такой уж большой редкостью.
                                          • 0
                                            В литературе история про то как ключ от какой-либо двери воровался у ключника встречается далеко не одна, думаю что и в реальной жизни это не являлось такой уж большой редкостью.


                                            Здесь нужно учитывать и то, что добраться до ключника намного сложнее, чем попытаться обойти шифрование (подсмотреть пароль, обязать лицо разгласить пароль и т. п.). Если сам факт существования ключника превратит систему в «решето» (не просто приведет к увеличению «поверхности атаки», а именно превратит в «решето»), то это же, на мой взгляд, нужно сказать и про прозрачные стекла в окнах в помещении, где работают с зашифрованной информацией, и про отсутствие омерты.
                                            • 0
                                              Для целевой атаки — да, может и проще паяльник в естественное отверстие запихнуть. Но зато как только скомпрометирован ключник — то под угрозой сразу все аккаунты, ключи от которых у него были. А тут уже проще атаковать один узел, хранящий все ключи, чем у каждого пароль подсматривать.
                                              • 0
                                                А тут уже проще атаковать один узел, хранящий все ключи, чем у каждого пароль подсматривать.


                                                От такой атаки не спасет и отсутствие универсального ключа, т. к. злоумышленник может встроить бекдор в обновление программного обеспечения (цель ведь одна и та же – производитель).
                                                • 0
                                                  Все же подделать код — сложнее, т.к. в одном случае необходимо только владеть информацией (подсмотреть ключи) и в ряде случаев подобное разглашение не может быть обнаружено. А в вашем случае требуется уже модификация данных, и обнаружить ее все-же проще, ну и можно например не обновляться (сделать код который форсированно обновляет — еще труднее незаметно).
                                                  • 0
                                                    А в вашем случае требуется уже модификация данных, и обнаружить ее все-же проще


                                                    Вы противопоставляете общим суждениям аргументы конкретного характера. Сложность получения универсального ключа и сложность незаметной модификации кода зависят от оценки конкретных защитных мер. Если Вы, например, утверждаете, что невозможно незаметно модифицировать код, т. к. соответствующий коммит будет виден всем разработчикам, то я таким же образом могу заявить, что получение универсального ключа может быть исключено грамотной охраной соответствующего помещения; так можно рассуждать бесконечно, но общий случай от этого не меняется.

                                                    сделать код который форсированно обновляет — еще труднее незаметно


                                                    К сожалению, производители ПО для мобильных устройств давно перешли на автоматические («форсированные») обновления по умолчанию. Тот же Android обновляется автоматически, если пользователь явно этого не желает.
                                                • 0
                                                  Да не нужно никакого бекдора. Если уж частные лица так резво взламывают операционки, то и правоохранительные органы могут. Только вот одна беда: заметно очень. Стоили провести одну-единственную атаку на Иран — и про это говорят уже многие годы. И взломы и закладки все, «кому не нужно» обсуждают и «мешают работать».

                                                  А универсальный ключ у правоохранительных органов типа даст тот же результат — но по-тихому. Проблема в том, что и его компроментация — тоже останется тихой и не заметной. Этого «бекдором в обновлении программного обеспечения» не достичь.
                                                  • 0
                                                    И взломы и закладки все, «кому не нужно» обсуждают и «мешают работать».


                                                    Обсуждают только то, что стало достоянием общественности. Вы берете 100% инцидентов, которые обладают каким-то признаком и получили публичную огласку (а без последней составляющей Вы не можете включить инцидент в свои рассуждения), а затем утверждаете, что все инциденты, которые обладают тем же признаком, получают публичную огласку. Это не так (по логике).
                                                    • 0
                                                      Основной принцип безопасности сформулировал ещё Линкольн: Можно всё время дурачить некоторых, можно некоторое время дурачить всех, но нельзя всё время дурачить всех.

                                                      Спецслужбы хотят следить за всеми (в теории — за всем преступниками, но на практике — такое ощущение, что за всеми вообще поголовно). Это не работает: понятно что какая-то часть инцидентов остаётся скрытой, но раскрывается достаточно много для того, чтобы деятельность секретных служб регулярно обсуждали бы в прессе и пытались бы их «приструнить».

                                                      Решение: давайте сделаем так, чтобы все данные были зашифрованы дополнительным ключём и выдавались по запросу. Так как после этого «дурачить» придётся только одного вендора (Apple или Google), то они надеются, что это можно будет делать «всё время». Проблема в том, что для того, чтобы после этого данные «утекли» тоже придётся одурачить только одного человека (того, который контролирует доступ к этим данным). Что злоумышленникам или там спецслужбам враждебного государства достаточно сделать один раз тоже. В целом это безопасность лучше явно не сделает.
                                                      • 0
                                                        Вы исходите из предположения, что утечка информации менее заметна, чем модификация информации (или кода). Но это не так. Благодаря Сноудену стали известны факты взлома маршрутизаторов, внедрения руткитов и много другое, но произошло это не из-за того, что такие действия более заметны для потерпевших или посторонних, а из-за утечки информации об этих действиях (не было бы утечки – многие из известных сейчас фактов так бы и остались в тайне). Если признать, что соотношение риска раскрытия факта утечки информации и риска раскрытия факта модификации информации (кода) заведомо неизвестно без конкретных деталей защитных мер, т. е. в общем случае, то можно смело сказать, что даже в случае внедрения бекдора путем негласной модификации кода «дурачить» нужно одного человека (хотя в конкретных ситуациях это может быть и не так, но ведь это же касается и факта утечки универсального ключа, если он составляется из «кворума ключей» нескольких ответственных лиц).
                                                        • 0
                                                          Да не важно, вы увеличиваете вероятность утечки, аргументируя это достаточно бредовыми соображениями из серии «поймаем больше преступников», хотя реальная статистика по преступникам поимка которых зависит только от бекдоров — крайне унылая. Кроме того многие данные на телефоне при сколько нибудь адекватном адвокате могут быть аннулированы в качестве улик (в основном за исключением разных фото-видео материалов зафиксировавших преступление).
                                                          • –1
                                                            хотя реальная статистика по преступникам поимка которых зависит только от бекдоров — крайне унылая


                                                            Я не считаю, что представитель ФБР прав и его предложение является единственным решением. ФБР оказалось в ситуации (если точнее, то начинает входить в ситуацию), в которой находятся правоохранительные органы многих других государств (в том числе РФ) уже не один год, однако никто из последних не «впадает в панику».

                                                            Кроме того многие данные на телефоне при сколько нибудь адекватном адвокате могут быть аннулированы в качестве улик (в основном за исключением разных фото-видео материалов зафиксировавших преступление)


                                                            Вот и софистика началась (с добавлением каких-то неведомых юридических аргументов от адекватных адвокатов). Зачем искать убийцу, если он мог сокрыть все следы своего преступления? Ладно, на этом я обсуждение завершаю.
                                                            • –1
                                                              Софистикой занимаетесь вы. Приведу аналогию — идея: «заставить людей сдавать государству отпечаток подошвы своих ботинок чтобы по отпечатку подошвы на месте преступления можно было опознать преступника», я говорю что это будет работать в ничтожном количестве случаев, и даже в этом количестве адвокат зачастую докажет что подобные улики ничего не стоят. На основании подобного вывода принимается решение что такую идею в закон воплощать нельзя.
                                                          • –1
                                                            достаточно бредовыми соображениями из серии «поймаем больше преступников»


                                                            Так и запишу: двое судей ЕСПЧ, которые выступили за создание «правового бекдора» для доступа к зашифрованным данным при расследовании «корпоративных» преступлений, высказали только бредовые соображения. А кто же тогда двое других судей, которые согласились с аргументами первых? :-)
                                                            • –1
                                                              Вы живете в сказочном мире, в котором судьи (в данном случае это даже не совсем судья, а скорее политическая фигура) отстаивают в подобных заявлениях интересы граждан? И никогда-никогда не говорят то что выгодно кому-то еще? Ну ок, я не живу в таком сказочном идеальном мире. И да, судьи тоже говорят бред, иногда неосознанно, иногда потому что их попросили, иногда осозанно для достижения своих целей.
  • +3
    <irony>Но почему только ФБР? В других странах с терроризмом бороться не надо что ли?! Дырки должны быть для любых спецслужб любых стран!</irony>
    • 0
      Очень верно. Если это будет принято, любая другая страна будет вправе требовать от производителей вставлять лючки именно для их спецслужб.
  • +2
    Одно мне не ясно. Сёр по криптографии идёт только у айфонов и андроида. Винфоны уже имеют бекдоры?)
    • +2
      Винфоны почти не имеют пользователей в US, какая нафиг разница — шифруют они там что-нибудь или нет?
      • 0
        Злоумышленники наиболее вероятно будут пользоваться тем каналом связи, риск скомпрометировать который будет наименьший. В этом, пожалуй, и есть разница.
        • 0
          Вы действительно верите, что цель — поймать каких-то мифических террористов?
          • 0
            Суть не в том, во что я верю), не в теориях заговора и не в целях как таковых, а в том, для чего их(бекдоры) можно использовать, ведь получи к ним доступ злоумышленники и картина перевернется с ног на голову. Иметь возможность противостоять атаке не является злом, вы ведь не будете писать не защищенный продукт? Тем не менее внедрять или не внедрять решать стоит обществу, хотя есть большие сомнения, о том, спросят ли об этом само общество.
            • 0
              Если судить по действиям, то совершенно очевидно, что спецслужбы мало волнует что будет если личная информация попадёт в руки злоумышленников и/или их коллег из других стран. Однако их очень волнует что кто-то (условно говоря «неблагонядёжный») сможет что-то делать втайне от них, а они об этом и знать ничего не будет. Из чего можно сделать определённые выводы о том какие цели тут преследуются и чего их организаторы хотят.

              P.S. Если цель — тотальная слежка, то отдельные личности использующие супернадёжное шифрование — не проблема: всегда можно наружку организовать (а если вдруг кто-то застрелится как Хемингуэй, то не проблема: одним больше, одним меньше… ). Но для этого важно чтобы таких людей было мало (ко всем «агентов» не приставишь). Китай как о своих желаниях, так и средствах говорит открыто, Америка — прикрывается мифическими «терростами», но так как делают они, по большому счёту, одно и то же, то я склонен предполагать, что и цели у них одинаковые.
  • 0
    А я вот сижу дальше со своими Nokia N900 с Maemo и Nokia 6120c с симбой и не парюсь))
  • 0
    Хорошая новость для производителей «секурного» ПО для коммуникации =)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.