Компьютерра
09.09.2013 - 15.09.2013
Метафора терморектальной аналитики в контексте диалога АНБ с ИТ-бизнесом
Сергей Голубицкий
Опубликовано 09 сентября 2013
Американскому АНБ (и его британской сестрице GCHQ) сильно не повезло: с ними случился Сноуден. Мы люди взрослые и прекрасно осознаем, что за собственными (и не только) гражданами следят по мере сил и возможностей все государства нашей планеты — даже такие высоконравственные, как Россия, Индонезия и Китай. Однако исторический опыт удержания правдоискателей в узде, дополненный здоровым гражданским рефлексом держаться от государственных дел как можно дальше, обеспечивает властям этих государств привилегию заниматься всем чем угодно в комфортной тишине общественного неведения.
Как бы там ни было, англо-саксонские нации добровольно пошли на совмещение государственных репрессивных функций с реальными рычагами по обеспечению гласности, находящимися в руках гражданского общества, а потому вынуждены мириться с невротическим абсурдом общественно-политической жизни: газеты со спокойным видом публикуют сообщения о нарушениях элементарных гражданских прав государственными ведомствами, государственные ведомства с таким же спокойным видом обосновывает объективную необходимость в репрессиях, обыватели непринуждённо читают о творимом беззаконии в газетах и либо находят оправдания для этого беззакония, либо выражают с ним несогласие — исключительно мирными демонстративными действиями (дефилируют по улицам с плакатами).
Самое главное, что стабильность общества при этом никак не нарушается и никому и в голову не приходит устраивать революции. В этом, кстати, и заключена гениальная прозорливость ставки на гласность, которая выбивает почву из-под ног любого насильственного бунта.
На исходе прошлой недели творческое объединение «Эдвард Сноуден + газета The Guardian» порадовало мир очередной серией неистовых разоблачений, которые, не будь в западных странах гласности, могли бы привести к массовым беспорядкам. Глен Гринвальд, умудрённый горьким опытом истязаний его возлюбленной в аэропорту Хитроу, решил больше в одиночку не рисковать, а потому пригласил к соавторству ещё двух журналистов — Джеймса Болла и Джулиана Боргера: как-никак втроём будет веселее противостоять погромам и конфискациям техники в редакции родной газеты.
В публикации «Как американские и британские шпионские ведомства уничтожают частную жизнь и безопасность в интернете» рассказывается о бюджете в $250 млн (для сравнения: на PRISM выделялось «лишь» $20 млн), которые дядя Сэм направляет ежегодно на ведение операций по созданию лазеек в программном коде, позволяющих государству с лёгкостью преодолевать средства коммерческих программ криптологической защиты.
Бюджет распределяется по трём направлениям: — разработка и утверждение международных стандартов шифрования, удобных для государственного взлома; — обслуживания технопарка суперкомпьютеров для преодоления криптозащиты методом грубой силы; — полюбовное сотрудничество с ИТ-компаниями и провайдерами интернет-услуг, которые добровольно внедряют в свои продукты backdoors и trapdoors либо предоставляют компетентным государственным органам ключи для расшифровки коммуникаций.
Широким жестом Эдвард Сноуден передал на минувшей неделе сразу трём изданиям — The Giardian, The New York Times и ProPublica — документы, свидетельствующие о том, что в 2010 году 10-летние усилия Агентства национальной безопасности США увенчались грандиозным успехом — взломом криптозащиты «обширного объёма информации», которая была получена по каналам «Большой четвёрки» (Hotmail, Google, Yahoo!, Facebook).
рассказывала, как АНБ вынудило Microsoft раскрыть перед государственными структурами алгоритмы криптозащиты почты Outlook и чат-сервиса, поэтому добавление к списку «опущенных» других провайдеров интернет-услуг лишь количественно расширило наши представления о масштабах государственной интервенции в частную жизнь граждан.
Всех, кому интересны технические подробности усилий АНБ и GCHQ по выкручиванию рук ИТ-бизнесу, я отсылаю к оригинальной публикации The Gurdian по линку выше. Мне бы сейчас хотелось обсудить другой аспект государственных инициатив, а именно наличие (или отсутствие) у американских и британских компетентных органов инструментов воздействия в конечной инстанции (того самого терморектального анализатора) на тех представителей коммерческих структур интернета, которые по той или иной загадочной причине откажутся от добровольного стукачества на собственных клиентов.
Для начала послушаем, что говорят сами коммерческие структуры. На Quora был размещен вопрос: «Уместно ли предположить, что разработчики популярных программ для хранения паролей (LastPass и др.) согласятся добровольно либо будут принуждены компетентными органами установить backdoor-программы в свои алгоритмы шифрования?»
Откликнулись два сотрудника AgileBits, разработчика 1Password, и заявили, что компания не хранит мастер-пароли пользователей, поэтому перехватить или расшифровать файл 1Password, в котором хранятся пользовательские пароли, технически невозможно.
Есть, однако, и другой вариант: государство потребует от разработчика искусственно ослабить алгоритмы шифрования либо внедрить в него опять же backdoor, что позволило бы перехватывать пользовательские мастер-пароли. На этот счёт у 1Password также нашлись контраргументы:
— наши разработчики проживают в Канаде, США, Великобритании и Нидерландах (поди, типа, всех поймай); — архитектура нашей системы безопасности и дизайн информации предельно открыты, поэтому будет сложно принудительно их ослабить без того, чтобы это сразу же не обнаружилось; — менеджеры паролей не являются инструментами коммуникаций, поэтому интерес к этим программам со стороны компетентных органов не столь ярко выражен; — если государство очень заинтересует какой-то пользователь 1Password, ему будет гораздо проще взломать ОС его компьютера, чем вынудить 1Password изменить дизайн приложения; — наконец, всегда есть вариант поступить так, как поступила компания Lavabit, — отказаться от сотрудничества и закрыть свой бизнес.
Не знаю, как вас, но меня все эти аргументы лишь позабавили. Не в плане их технической безосновательности (здесь, как водится, всё на уровне), а в плане социальной наивности. Аргумент проживания разработчиков в других странах несерьёзен, учитывая возможности США добиться экстрадиции практически кого угодно из Евросоюза и дружественных государств (Канада, Австралия и т. д.). Аргумент про перекладывание проблем на плечи частных пользователей также несостоятелен, поскольку для компетентных органов означает лишнюю работу (зачем, когда можно одним выстрелом положить всех зайцев из огорода 1Passaword сразу). Ну и так далее.