Bei Exabeam sind wir nicht nur an der Entwicklung der neuesten Cybersicherheit interessiert, sondern auch daran, was wir von älteren Sicherheitstechnologien lernen können. Aus diesem Grund haben wir kürzlich einen Kalender zur Geschichte der Cybersicherheit 2019 erstellt. Jeder Monat enthält wichtige Daten in der Cybersicherheitsgeschichte, zusammen mit einer verwandten Trivia-Frage und anderen interessanten Dingen, die in diesem Monat in den vergangenen Jahren aufgetreten sind.
Dies ist der vierte in einer Reihe von Beiträgen mit dem Cybersecurity-Kalender, in dem wir den Aufstieg und Fall des Clipper-Chips betrachten. Wir werden weitere Informationen zu den Cybersicherheitsterminen veröffentlichen, die wir im Laufe des Jahres recherchiert haben. Wenn Sie der Meinung sind, dass wir einen wichtigen Termin verpasst haben (oder etwas falsch gemacht haben), lassen Sie es uns bitte wissen. Sie können auch Ihr Feedback mit uns auf Twitter teilen.
Privatsphäre spielte auch in der Ära Ihrer Eltern eine Rolle
Wie würden Sie sich fühlen, wenn Sie feststellen würden, dass Ihr Telefon einen Chip enthält, der speziell dafür entwickelt wurde, Ihre private Kommunikation an die Regierung weiterzugeben? Sie wären wahrscheinlich schockiert und würden zumindest Antworten vom Hersteller verlangen. Heutzutage werden Menschen durch vergleichsweise geringfügiges Abhören geärgert, z. B. wenn Vermarkter ihren Computer-Browserverlauf oder das GPS ihres Mobiltelefons verwenden, um sie mit gezielter Werbung zu versorgen. Stellen Sie sich nun vor, wie sich die Menschen in den 1990er Jahren fühlten, als die US-Regierung einen Chipsatz mit eingebauter Hintertür entwickelte und förderte.
Am 16.April 1993 kündigte das Weiße Haus den sogenannten „Clipper“ an.“ Offiziell als MYK-78 bekannt, war es für den Einsatz in sicheren Kommunikationsgeräten wie Kryptotelefonen vorgesehen, die Anrufe vor dem Abfangen schützen, indem sie Algorithmen und kryptografische Schlüssel zum Ver- und Entschlüsseln der Signale verwenden. Der kryptografische Algorithmus des Chips, bekannt als Skipjack, wurde von der National Security Agency (NSA) entwickelt, dem streng geheimen militärischen Geheimdienst, der für das Abfangen ausländischer Regierungskommunikation und das Brechen der Codes zum Schutz solcher Übertragungen verantwortlich ist.
Auf jedem Clipper-Chip war während der Herstellung ein geheimer Geräteschlüssel programmiert. Da jeder Chip seine eigene Seriennummer und Schlüsseleinheit hatte, wäre jedes sichere Kommunikationsgerät, das die Technologie verwendet, einzigartig.
Aber im Fall des Clipper-Chips galt der „sichere“ Teil nicht wirklich für die Regierung. In einem sicheren Kommunikationssystem wie einem Kryptotelefon kann ein Telefon mit den richtigen kryptografischen Schlüsseln Sprachsignale entschlüsseln, sodass die empfangende Partei den Anruf hören kann. Mit dem Clipper-Chip mussten Gerätehersteller die kryptografischen Schlüssel an die Regierung abgeben. Offensichtlich war die Absicht, Geheimdiensten und Strafverfolgungsbehörden wie der CIA und dem FBI zu ermöglichen, Sprachanrufe zu Überwachungszwecken zu entschlüsseln.
Obwohl es heute nicht so aussieht, als würde man es öffentlich ankündigen, hat das Konzept zumindest versucht, den Rechten der Menschen auf Privatsphäre ein leichtes Nicken zu verleihen. Um einen gewissen Schutz vor Missbrauch durch Strafverfolgungsbehörden zu bieten, einigten sich die Entwickler darauf, dass der kryptografische Schlüssel jedes Clipper-Chips von zwei Bundesbehörden gemeinsam hinterlegt wird. Im Wesentlichen teilten sie den Einheitsschlüssel in zwei Teile auf, und jede Hälfte würde einer der Agenturen gegeben. Um den tatsächlichen Einheitenschlüssel zu rekonstruieren, musste auf die Datenbank beider Agenturen zugegriffen und die Hälften mithilfe einer speziellen Software wieder zusammengesetzt werden.
Befürworter der Privatsphäre und Kryptographen bewegten sich schnell, um die Flügel des Chips zu beschneiden
Es überrascht nicht, dass bald eine Gegenreaktion auf die Ankündigung des Clipper-Chips folgte. Datenschutzrechtsorganisationen wie die Electronic Frontier Foundation und das Electronic Privacy Information Center sträubten sich gegen den Vorschlag von Clipper Chip. Diese und andere Gegner behaupteten, es würde normale Bürger einer illegalen staatlichen Überwachung aussetzen.
In einem Artikel von 1994 ging die New York Times so weit, die Gegenreaktion unter Silicon Valley-Technologen als den ersten heiligen Krieg der Informationsautobahn zu beschreiben.
“ Die Cypherpunks betrachten den Clipper als Hebel, mit dem Big Brother in die Gespräche, Nachrichten und Transaktionen des Computerzeitalters eindringt. Diese High-Tech-Paul-Verehrer versuchen, Amerika gegen das böse Vorzeichen eines ‚Cyberspace-Polizeistaates‘ zu mobilisieren, wie es einer ihrer Internet-Jeremiaden ausdrückte. Ihnen in der Schlacht beizutreten ist eine gewaltige Kraft, darunter fast alle Kommunikations- und Computerindustrien, viele Kongressmitglieder und politische Kolumnisten aller Couleur.“
Auf der anderen Seite argumentierte das Clinton White House, dass der Clipper-Chip ein wesentliches Instrument für die Strafverfolgung sei. Als andere vorschlugen, es könnte ein Werkzeug für Terroristen sein, sagte die Regierung, es würde tatsächlich die nationale Sicherheit erhöhen, weil die Regierung ihre Anrufe abhören könnte.
Die kryptografische Gemeinschaft beschwerte sich auch darüber, dass die Verschlüsselung des Clipper-Chips von der Öffentlichkeit nicht richtig bewertet werden konnte, da der Skipjack-Algorithmus als geheim eingestuft wurde. Dies könnte dazu führen, dass sichere Kommunikationsgeräte nicht so sicher sind wie beworben, was sich auf Unternehmen und Einzelpersonen auswirkt, die sich auf sie verlassen würden.
1993 produzierte T Bell bei&das erste und einzige Telefongerät, das auf dem Clipper-Chip basierte. Ein Jahr später veröffentlichte Matt Blaze, ein Forscher bei AT& T, einen großen Designfehler, der es einer böswilligen Partei ermöglichen könnte, die Software zu manipulieren. Dieser Fehler schien der letzte Nagel im Sarg der Technologie gewesen zu sein. Das AT & T-Gerät war die erste und einzige sichere Kommunikationstechnologie, die den Clipper-Chip verwendete; Bis 1996 war der Chip nicht mehr vorhanden.
Angesichts der starken Resonanz auf den Clipper-Chip und seines raschen Niedergangs können wir heute ein wenig aus der Geschichte über Cybersicherheit lernen. Cybersicherheitstechnologien müssen in einer Welt für echte Menschen existieren, und die Menschen kümmern sich heute sehr um die Privatsphäre. Unabhängig davon, ob Innovationen von der Regierung oder der Industrie kommen, müssen sie die Sicherheit mit Bedenken hinsichtlich des Missbrauchs der Technologie in Einklang bringen. Schließlich sind die meisten Menschen keine Kriminellen oder Terroristen. Auch der Einbau fehlerhafter Sicherheitstechnologien in Systeme, die als „sicher“ beworben werden, kann dazu führen, dass Einzelpersonen und Unternehmen, die diesen Tools vertrauen, anfällig für Risiken sind.