Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) έχει κυκλοφορήσει ένα έγγραφο για να απομυθοποιηθεί το γεγονός ότι η κρυπτογράφηση στις κερκόπορτες είναι ο καλύτερος τρόπος προστασίας από τρομοκρατικές ενέργειες.
Εδώ και μερικά χρόνια, οι κυβερνητικές υπηρεσίες έχουν ζητήσει από τις ρυθμιστικές αρχές να γράψουν και να περάσουν νόμους που τους επιτρέπουν να ζητούν από εταιρείες να τους παρέχουν τα κλειδιά αποκρυπτογράφησης των κρυπτογραφημένων δεδομένων ή ακόμη και να αναγκάσουν τις επιχειρήσεις να περιλαμβάνουν μια κερκόπορτα ώστε να μπορούν εύκολα να έχουν πρόσβαση όποτε χρειάζεται.
Η πίεση έχει γίνει δεκαπλάσια μετά τις τρομοκρατικές επιθέσεις στο Παρίσι το περασμένο έτος, ακόμα κι που δεν υπήρχε καμία απόδειξη ότι οι τρομοκράτες σχεδίαζαν και πραγματοποίησαν την επίθεση με κρυπτογραφημένες επικοινωνίες.
Με το φόβο να βρίσκεται σε υψηλά επίπεδα στην Ευρώπη, καθώς και με τις κυβερνήσεις να είναι όλο και σκληρότερες απέναντι στην κρυπτογράφηση των backdoors, οι IT ειδικοί σε θέματα ασφάλειας της ΕΕ από τον ENISA προσπαθούν τώρα να ηρεμήσουν τους πάντες.
Στην εργασία τους που κυκλοφόρησε την περασμένη Παρασκευή, ο ENISA παρέχει μια απλή, διατυπωμένη εξήγηση για το γιατί οι κρυπτογραφημένες backdoors μπορεί να είναι η χειρότερη ιδέα που οι ρυθμιστικές αρχές της ΕΕ μπορεί να είναι πρόθυμες να εφαρμόσουν στη νομοθεσία σε επίπεδο ηπείρου.
Ο ENISA συμφώνησε ότι το να έχει κανείς κρυπτογράφηση στις κερκόπορτες θα μπορούσε να βοηθήσει τις αρχές κατά τις έρευνές τους, αλλά το να έχουν τα συστήματα ανάκτησης του κρυπτογραφημένου κλειδιού και τα συστήματα μεσεγγύησης (escrow systems) έχει τα μειονεκτήματά του.
Πρώτα απ’ όλα, θα είναι ακριβό για να εφαρμοστεί σε όλους τους οργανισμούς, ένα κόστος ορισμένες χώρες μπορεί να μην είναι διατεθειμένες να δαπανήσουν, αν ήξεραν ότι παράλληλα εισήγαγαν τρωτά σημεία στην ασφάλεια του κράτους τους.
Ο ENISA εξηγεί ότι τα key recovery και escrow systems έρχονται και με τα δικά τους τρωτά σημεία, εκτός από αυτά του πρωτοκόλλου κρυπτογράφησης.
Οι αρχές πιέζουν ότι η κρυπτογράφηση των backdoors δεν κάνουν τίποτα περισσότερο από το να ενισχύουν την επιφάνεια επίθεσης στις κρυπτογραφημένες επικοινωνίες, παρέχοντας περισσότερες αδυναμίες στους επιτιθέμενους για να στοχεύσουν.
«Τα key escrow and recovery είναι θεωρητικά δυνατά, αλλά θα χρειαστεί μια ριζική αλλαγή της επικοινωνιακής υποδομής μας και την από κοινού προσπάθεια ανάπτυξης πολλών ειδικών», κατέληξε ο ENISA. «Η προκύπτουσα υποδομή θα είναι πιο περίπλοκη, καθιστώντας την, δυνητικά, πιο ευάλωτη σε επιθέσεις και λιγότερο ανθεκτική στις αποτυχίες. Οι οικονομικές επιπτώσεις μπορεί να είναι ανεπιθύμητες.»
Περαιτέρω, ο ENISA εξηγεί ότι ένα εκτεθειμένο escrow σύστημα είναι αδύνατο να ανιχνευθεί. Εάν ένας εισβολέας χρησιμοποιεί την ίδια κρυπτογράφηση κερκόπορτας όπως και ο αρχές, κανείς δεν θα μπορούσε ποτέ να είναι σε θέση να το ανιχνεύσει.
Το να απαγορευτεί βέβαια και η κρυπτογράφηση συνολικά είναι ακόμα μια πιο ανόητη ιδέα, συμπληρώνει ο ENISA, δεδομένου ότι είναι τεχνικά αδύνατο να εφαρμοστεί.
