Можливо, останнім часом ви натрапляли у новинних стрічках на термін “бекдор у шифруванні”. Розберімося, що це таке, чому це питання викликає так багато суперечок у технологічному світі, і як це може вплинути на гаджети, якими ви користуєтеся щодня.
Ключ для входу в систему
Більшість сучасних пристроїв використовують певний тип шифрування для захисту даних. Щоб отримати доступ до системи, необхідна аутентифікація. Наприклад, щоб розблокувати телефон, ви використовуєте пароль, відбиток пальця або розпізнавання обличчя для доступу до застосунків і файлів.
Ці методи зазвичай надійно захищають ваші особисті дані. Навіть якщо хтось заволодіє вашим телефоном, він не зможе отримати доступ до вашої інформації, не знаючи вашого пароля. Крім того, багато телефонів можуть автоматично стерти дані або тимчасово заблокуватися при спробі неодноразового введення неправильного пароля.
Бекдор – це прихований спосіб обходу такого шифрування. Фактично, це дозволяє виробнику отримувати доступ до всіх даних на будь-якому пристрої, який він випускає. Це не нове явище, воно бере свій початок з часів розробок на кшталт “Чіппер” на початку 90-х.
Бекдором може бути що завгодно: прихована функція операційної системи, зовнішній інструмент, який працює як “ключ” для кожного пристрою, або фрагмент програмного коду, що створює вразливість у програмному забезпеченні.
Проблема з бекдорами в шифруванні
У 2015 році питання бекдорів у шифруванні викликало бурхливі дебати після того, як компанія Apple та ФБР опинилися втягнутими у судову тяганину. ФБР вимагало через суд від Apple зламати iPhone, що належав померлому терористу. Apple відмовилася створювати необхідне для цього програмне забезпечення, і було призначено слухання. Однак ФБР скористалося послугами сторонньої компанії (GrayKey), яка виявила вразливість, що дозволила обійти шифрування, і справу було закрито.
Ця дискусія триває і далі серед технологічних компаній та в державних установах. Коли ця справа вперше з’явилася у заголовках, майже всі великі технологічні компанії США (включаючи Google, Facebook та Amazon) підтримали позицію Apple.
Більшість технологічних гігантів не підтримують ідею примусового створення бекдорів для шифрування. Вони стверджують, що бекдор робить пристрої та системи значно менш захищеними, оскільки він створює вразливість у системі за замовчуванням.
Хоча спочатку тільки виробник та уряд знають про існування бекдору, хакери та зловмисники з часом обов’язково його виявлять. Після чого експлойти стануть доступними багатьом. Крім того, якщо уряд США отримає метод створення бекдорів, то чи не отримають його й інші країни?
Це створює серйозні загрози. Системи з бекдорами, найімовірніше, збільшать кількість та масштаби кіберзлочинів, починаючи від атак на державні пристрої та мережі до створення чорного ринку для незаконних дій. Як зазначив Брюс Шнайєр у статті для The New York Times, це також може зробити вразливими критично важливі інфраструктурні системи, які контролюють основні комунальні послуги, як для зовнішніх, так і для внутрішніх загроз.
Звісно, це також стосується конфіденційності. Бекдор шифрування в руках уряду дозволяє їм переглядати персональні дані будь-якого громадянина у будь-який час без його згоди.
Аргументи на користь бекдору
Урядові та правоохоронні органи, які виступають за створення бекдорів у шифруванні, стверджують, що дані не повинні бути недоступними для них. Деякі розслідування вбивств та крадіжок зайшли у глухий кут, оскільки правоохоронні органи не змогли отримати доступ до заблокованих телефонів.
Інформація, що зберігається в смартфонах, така як календарі, контакти, повідомлення та журнали викликів, це те, що поліція може мати законне право шукати за ордером. ФБР заявило, що вони стикаються з проблемою ” Темряви“, оскільки все більше даних і пристроїв стають недоступними.
Дискусії тривають
Чи повинні компанії створювати бекдори в своїх системах – це важливе політичне питання. Законодавці та державні службовці часто зазначають, що вони дійсно хочуть мати “парадний вхід”, який дозволить їм отримати доступ до розшифрованих даних за певних обставин.
Проте, “парадний вхід” і бекдор шифрування – це майже одне й те саме. В обох випадках потрібно створити експлойт для отримання доступу до пристрою.
Поки не буде прийнято остаточного рішення, це питання, ймовірно, продовжуватиме бути актуальним у публічному просторі.