A Exabeam, non siamo solo interessati a sviluppare la più recente sicurezza informatica, siamo anche affascinati da ciò che possiamo imparare dalle tecnologie di sicurezza più anziani. Ecco perché abbiamo recentemente creato un calendario History of Cybersecurity 2019. Ogni mese presenta date chiave nella storia della sicurezza informatica, insieme a una domanda trivia correlata e altre cose di interesse che si sono verificate in quel mese negli anni passati.
Questo è il quarto di una serie di post con il calendario della sicurezza informatica in cui guardiamo l’ascesa e la caduta del chip Clipper. Pubblicheremo più storia intorno alle date di sicurezza informatica che abbiamo studiato durante tutto l’anno. Se pensi che abbiamo perso una data importante (o qualcosa di sbagliato), fatecelo sapere. Puoi anche condividere il tuo feedback con noi su Twitter.
La privacy contava anche nell’era dei tuoi genitori
Come ti sentiresti se scoprissi che il tuo telefono conteneva un chip specificamente progettato per consegnare le tue comunicazioni private al governo? Probabilmente rimarrai scioccato e richiederai risposte dal produttore, come minimo. Oggi, le persone sono rankled da relativamente minori intercettazioni, come marketing utilizzando le loro storie di navigazione del computer o GPS del loro telefono cellulare per alimentare loro pubblicità mirata. Ora immaginate come la gente si sentiva nel 1990, quando il governo degli Stati Uniti ha sviluppato e promosso un chipset progettato con un built-in backdoor.
Il 16 aprile 1993, la Casa Bianca annunciò il cosiddetto “Clipper chip.”Ufficialmente noto come MYK-78, era destinato all’uso in dispositivi di comunicazione sicuri come i telefoni crittografici, che proteggono le chiamate dall’intercettazione utilizzando algoritmi e chiavi crittografiche per crittografare e decifrare i segnali. L’algoritmo crittografico del chip, noto come Skipjack, è stato sviluppato dalla National Security Agency (NSA), l’agenzia di intelligence militare profondamente segreta responsabile dell’intercettazione delle comunicazioni governative straniere e della rottura dei codici che proteggono tali trasmissioni.
Ogni Clipper chip aveva un segreto unità chiave programmato in esso durante la fabbricazione. Poiché ogni chip aveva il proprio numero di serie e l’unità chiave, ogni dispositivo di comunicazione sicuro che utilizza la tecnologia sarebbe unico.
Ma nel caso del chip Clipper, la parte “sicura” non si applicava realmente al governo. In un sistema di comunicazione sicuro come un telefono crittografico, avere le chiavi crittografiche giuste consente a un telefono di decifrare i segnali vocali in modo che la parte ricevente possa ascoltare la chiamata. Con il chip Clipper, i produttori di dispositivi sono stati tenuti a consegnare le chiavi crittografiche al governo. Ovviamente, l’intento era quello di consentire l’intelligence e le forze dell’ordine come la CIA e l’FBI per decifrare le chiamate vocali a fini di sorveglianza.
Mentre oggi non sembra qualcosa che si possa annunciare pubblicamente, il concetto ha almeno tentato di dare un leggero cenno ai diritti delle persone alla privacy. Per fornire una certa protezione contro l’uso improprio da parte delle forze dell’ordine, gli sviluppatori hanno concordato che la chiave crittografica di ciascun chip Clipper sarebbe stata tenuta in garanzia congiuntamente da due agenzie federali. Essenzialmente hanno diviso la chiave dell’unità in due parti, e ogni metà sarebbe stata data a una delle agenzie. La ricostruzione della chiave dell’unità effettiva richiedeva l’accesso al database di entrambe le agenzie e quindi la ricomposizione delle metà utilizzando un software speciale.
I sostenitori della privacy e i crittografi si spostarono rapidamente per tagliare le ali del chip
Non sorprendentemente, un contraccolpo seguì presto l’annuncio del chip Clipper. Organizzazioni per i diritti della privacy come l’Electronic Frontier Foundation e l’Electronic Privacy Information Center hanno esitato alla proposta di Clipper chip. Questi e altri oppositori sostenevano che avrebbe sottoposto i cittadini comuni alla sorveglianza illegale del governo.
In un articolo del 1994, il New York Times è arrivato al punto di descrivere il contraccolpo tra i tecnologi della Silicon Valley come la prima guerra santa dell’autostrada dell’informazione.
“I Cypherpunks considerano il Clipper la leva che il Grande Fratello sta usando per curiosare nelle conversazioni, nei messaggi e nelle transazioni dell’era dei computer. Questi high-tech Paul Reveres stanno cercando di mobilitare l’America contro il male portento di uno ‘stato di polizia cyberspazio,’ come uno dei loro Internet jeremiads metterlo. Unirsi a loro nella battaglia è una forza formidabile, tra cui quasi tutte le industrie delle comunicazioni e dei computer, molti membri del Congresso e giornalisti politici di tutte le bande.”
D’altra parte, la Casa Bianca Clinton ha sostenuto che il chip Clipper era uno strumento essenziale per le forze dell’ordine. Quando altri hanno suggerito che potrebbe essere uno strumento per i terroristi, l’amministrazione ha detto che sarebbe effettivamente aumentare la sicurezza nazionale perché il governo potrebbe ascoltare le loro chiamate.
La comunità crittografica si lamentava anche che la crittografia del chip Clipper non potesse essere adeguatamente valutata dal pubblico in quanto l’algoritmo Skipjack era classificato segreto. Ciò potrebbe rendere i dispositivi delle apparecchiature di comunicazione sicuri non sicuri come pubblicizzati, influenzando le aziende e gli individui che si baserebbero su di essi.
Nel 1993, AT& T Bell produsse il primo e unico dispositivo telefonico basato sul chip Clipper. Un anno dopo, Matt Blaze, ricercatore presso AT&T, ha pubblicato un grave difetto di progettazione che potrebbe consentire a una parte malevola di manomettere il software. Quel difetto sembrava essere stato l’ultimo chiodo nella bara della tecnologia. Il dispositivo AT&T è stata la prima e unica tecnologia di comunicazione sicura per utilizzare il chip Clipper; da 1996 il chip non era più.
Guardando la forte risposta al chip Clipper e la sua rapida scomparsa, possiamo imparare un po ‘ dalla storia sulla sicurezza informatica oggi. Le tecnologie di sicurezza informatica devono esistere in un mondo per persone reali, e le persone oggi si preoccupano molto della privacy personale. Sia che le innovazioni provengano dal governo o dall’industria, devono bilanciare la sicurezza con le preoccupazioni per l’uso improprio della tecnologia. Dopo tutto, la maggior parte delle persone non sono criminali o terroristi. Anche la costruzione di tecnologie di sicurezza difettose in sistemi promossi come “sicuri” può lasciare gli individui e le aziende che si fidano di questi strumenti vulnerabili ai rischi.