hos os er vi ikke kun interesserede i at udvikle den nyeste cybersikkerhed, vi er også fascineret af, hvad vi kan lære af ældre sikkerhedsteknologier. Derfor oprettede vi for nylig en historie om Cybersecurity 2019-Kalender. Hver måned indeholder nøgledatoer i cybersecurity-historien, sammen med et relateret trivia-spørgsmål og andre ting af interesse, der opstod i den måned i de forløbne år.
dette er fjerde i en række indlæg med Cybersikkerhedskalenderen, hvor vi ser på Clipper-chipets stigning og fald. Vi offentliggør mere historie omkring de cybersikkerhedsdatoer, vi har undersøgt i løbet af året. Hvis du tror, vi gik glip af en vigtig dato (eller fik noget galt), så lad os det vide. Du kan også dele din feedback med os på kvidre.
privatliv betyder også noget i dine forældres æra
hvordan ville du have det, hvis du opdagede, at din telefon indeholdt en chip, der var specielt designet til at overføre din private kommunikation til regeringen? Du vil sandsynligvis blive chokeret og kræve svar fra producenten, som et minimum. I dag rangeres folk af relativt mindre aflytning, såsom marketingfolk, der bruger deres computersøgningshistorier eller deres mobiltelefons GPS til at fodre dem målrettet reklame. Forestil dig nu, hvordan folk følte sig i 1990 ‘ erne, da den amerikanske regering udviklede og promoverede et chipsæt designet med en indbygget bagdør.
den 16.April 1993 annoncerede Det Hvide Hus den såkaldte “Clipper chip.”Officielt kendt som MYK-78 var den beregnet til brug i sikre kommunikationsenheder som kryptotelefoner, der beskytter opkald mod aflytning ved hjælp af algoritmer og kryptografiske nøgler til at kryptere og dekryptere signalerne. Chippens kryptografiske algoritme, kendt som Skipjack, blev udviklet af National Security Agency (NSA), det dybt hemmelige militære efterretningsbureau, der er ansvarlig for at opfange udenlandsk regeringskommunikation og bryde koderne, der beskytter sådanne transmissioner.
hver Klipperchip havde en hemmelig enhedsnøgle programmeret i den under fremstillingen. Da hver chip havde sit eget serienummer og nøgleenhed, ville hver sikker kommunikationsenhed, der bruger teknologien, være unik.
men i tilfælde af Clipper-chippen gjaldt den “sikre” del ikke rigtig regeringen. I et sikkert kommunikationssystem som en kryptotelefon, at have de rigtige kryptografiske nøgler gør det muligt for en telefon at dekryptere stemmesignaler, så den modtagende part kan høre opkaldet. Med Clipper-chippen blev enhedsproducenter forpligtet til at overgive de kryptografiske nøgler til regeringen. Det var klart, at hensigten var at tillade efterretnings-og retshåndhævende myndigheder som CIA og FBI at dekryptere taleopkald til overvågningsformål.
mens det i dag ikke ser ud som noget, man ville offentliggøre, forsøgte konceptet i det mindste at give et lille nik til folks rettigheder til privatlivets fred. For at give en vis beskyttelse mod misbrug af håndhævelsesorganer var udviklerne enige om, at den kryptografiske nøgle til hver Clipper-chip ville blive holdt i spærret i fællesskab af to føderale agenturer. I det væsentlige delte de Enhedsnøglen i to dele, og hver halvdel ville blive givet til et af agenturerne. Rekonstruktion af den faktiske enhedsnøgle krævede adgang til begge agenturers database og derefter sætte halvdelene sammen igen ved hjælp af specielle programmer.
Fortrolighedsforkæmpere og kryptografer flyttede hurtigt for at klippe chipens vinger
ikke overraskende fulgte en tilbageslag snart meddelelsen om Clipper-chippen. Privatlivsrettighedsorganisationer som Electronic Frontier Foundation og Electronic Privacy Information Center balked på Clipper chip-forslaget. Disse og andre modstandere hævdede, at det ville udsætte almindelige borgere for ulovlig regeringsovervågning.
i en artikel fra 1994 gik Ny York Times så langt som at beskrive tilbageslag blandt Silicon Valley-teknologer som den første hellige krig på informationsvejen.
“Cypherpunks betragter klipperen som den håndtag, som Big Brother bruger til at lirke ind i samtalerne, meddelelser og transaktioner i computeralderen. Disse højteknologiske Paul Reveres forsøger at mobilisere Amerika mod den onde portent af en ‘cyberspace politistat’, som en af deres Internet jeremiads udtrykte det. At slutte sig til dem i kampen er en formidabel styrke, inklusive næsten alle kommunikations-og computerindustrier, mange medlemmer af kongressen og politiske spaltister af alle striber.”
på den anden side hævdede Clinton Hvide Hus, at Clipper-chippen var et vigtigt redskab til retshåndhævelse. Da andre foreslog, at det kunne være et værktøj for terrorister, sagde administrationen, at det faktisk ville øge den nationale sikkerhed, fordi regeringen kunne lytte til deres opkald.
det kryptografiske samfund klagede også over, at Clipper-chipets kryptering ikke kunne evalueres korrekt af offentligheden, da Skipjack-algoritmen blev klassificeret hemmelig. Dette kunne gøre sikre kommunikationsudstyr enheder ikke så sikker som annonceret, påvirker virksomheder og enkeltpersoner, der ville stole på dem.
i 1993 producerede T Bell på & den første og eneste telefonenhed baseret på Clipper-chippen. Et år senere offentliggjorde Matt Blise, en forsker ved at&T, en stor designfejl, der kunne gøre det muligt for en ondsindet part at manipulere med programmet. Denne fejl syntes at have været den sidste søm i teknologiens kiste. At & t-enheden var den første og eneste sikre kommunikationsteknologi, der brugte Clipper-chippen; i 1996 var chippen ikke mere.
når vi ser på det stærke svar på Clipper-chippen og dens hurtige død, kan vi lære lidt af historien om cybersikkerhed i dag. Cybersikkerhedsteknologier skal eksistere i en verden for rigtige mennesker, og folk i dag bryr sig meget om privatlivets fred. Uanset om innovationer kommer fra regeringen eller industrien, er de nødt til at afbalancere sikkerhed med bekymringer for misbrug af teknologien. De fleste mennesker er jo ikke kriminelle eller terrorister. Også opbygning af fejlbehæftede sikkerhedsteknologier i systemer, der fremmes som “sikre”, kan efterlade enkeltpersoner og virksomheder, der stoler på disse værktøjer, sårbare over for risici.