w Exabeam jesteśmy nie tylko zainteresowani rozwojem najnowszych cyberbezpieczeństwa, jesteśmy również zafascynowani tym, czego możemy nauczyć się od starszych technologii bezpieczeństwa. Dlatego niedawno stworzyliśmy Kalendarz History of Cybersecurity 2019. Każdy miesiąc zawiera kluczowe daty w historii cyberbezpieczeństwa, wraz z powiązanymi ciekawostkami i innymi interesującymi rzeczami, które miały miejsce w tym miesiącu w minionych latach.
to już czwarty z serii postów z kalendarzem cyberbezpieczeństwa, w którym przyglądamy się wzrostowi i upadkowi Chipa Clippera. Będziemy publikować więcej historii wokół dat cyberbezpieczeństwa, które badaliśmy przez cały rok. Jeśli uważasz, że przegapiliśmy ważną datę (lub coś nie tak), daj nam znać. Możesz również podzielić się z nami swoją opinią na Twitterze.
Prywatność również miała znaczenie w czasach twoich rodziców
jak byś się czuł, gdybyś odkrył, że Twój telefon zawiera chip specjalnie zaprojektowany, aby przekazać prywatną komunikację rządowi? Prawdopodobnie byłbyś w szoku i zażądał odpowiedzi od producenta, co najmniej. Dziś ludzie są klasyfikowani przez stosunkowo drobne podsłuchy, takie jak marketerzy wykorzystujący historię przeglądania komputera lub GPS telefonu komórkowego, aby nakarmić je ukierunkowanymi reklamami. Teraz wyobraź sobie, jak ludzie czuli się w 1990 roku, kiedy rząd USA opracował i promował chipset zaprojektowany z wbudowanym backdoorem.
16 kwietnia 1993 r.Biały Dom ogłosił tzw. „Clipper chip.”Oficjalnie znany jako MYK-78, był przeznaczony do użytku w bezpiecznych urządzeniach komunikacyjnych, takich jak telefony kryptograficzne, które chronią połączenia przed przechwyceniem za pomocą algorytmów i kluczy kryptograficznych do szyfrowania i deszyfrowania sygnałów. Algorytm kryptograficzny Chipa, znany jako Skipjack, został opracowany przez National Security Agency (NSA), głęboko tajną agencję wywiadu wojskowego odpowiedzialną za przechwytywanie zagranicznych komunikatów rządowych i łamanie kodów chroniących takie transmisje.
każdy chip Clipper miał zaprogramowany tajny klucz jednostki podczas produkcji. Ponieważ każdy chip miał swój własny numer seryjny i jednostkę klucza, każde bezpieczne urządzenie komunikacyjne wykorzystujące tę technologię byłoby unikalne.
ale w przypadku Clippera część „bezpieczna” tak naprawdę nie dotyczyła rządu. W bezpiecznym systemie komunikacyjnym, takim jak kryptofon, posiadanie odpowiednich kluczy kryptograficznych pozwala telefonowi odszyfrować sygnały głosowe, aby Strona odbierająca mogła usłyszeć połączenie. Dzięki chipowi Clipper producenci urządzeń byli zobowiązani do przekazania kluczy kryptograficznych rządowi. Oczywiście intencją było umożliwienie wywiadowi i organom ścigania, takim jak CIA i FBI, odszyfrowania połączeń głosowych w celach inwigilacji.
chociaż dziś nie wydaje się, aby coś publicznie ogłosić, koncepcja przynajmniej próbowała dać lekki ukłon w stronę praw ludzi do prywatności. Aby zapewnić pewną ochronę przed niewłaściwym użyciem przez organy ścigania, deweloperzy zgodzili się, że klucz kryptograficzny każdego Chipa Clippera będzie przechowywany w depozycie wspólnie przez dwie agencje federalne. Zasadniczo dzielili klucz jednostkowy na dwie części, a każda połowa była przekazywana jednej z agencji. Odtworzenie rzeczywistego klucza jednostki wymagało dostępu do bazy danych obu agencji, a następnie złożenia połówek z powrotem za pomocą specjalnego oprogramowania.
zwolennicy Prywatności i kryptografowie szybko przenieśli się do przycięcia skrzydeł Chipa
nic dziwnego, że wkrótce po ogłoszeniu Chipa Clippera doszło do luzu. Organizacje zajmujące się prawami do Prywatności, takie jak Electronic Frontier Foundation i Electronic Privacy Information Center, odrzuciły propozycję Clipper chip. Ci i inni przeciwnicy twierdzili, że poddadzą zwykłych obywateli nielegalnej inwigilacji rządu.
w artykule z 1994 roku The New York Times posunął się tak daleko, że opisał Luz wśród technologów Doliny Krzemowej jako pierwszą świętą wojnę autostrady informacyjnej.
„cypherpunks uważają Clipper za dźwignię, której Big Brother używa do wtykania w rozmowy, wiadomości i transakcje ery komputerów. Ci zaawansowani technologicznie Paul Reveres próbują zmobilizować Amerykę przeciwko złemu zwiastunowi „cyberprzestrzeni policyjnej”, jak to ujął jeden z ich internetowych jeremiadów. Dołączenie do nich w walce jest potężną siłą, w tym prawie wszystkie branże komunikacyjne i komputerowe, wielu członków Kongresu i politycznych publicystów wszystkich pasków.”
z drugiej strony, Biały Dom Clinton argumentował, że chip Clipper był niezbędnym narzędziem dla organów ścigania. Kiedy inni sugerowali, że może to być narzędzie dla terrorystów, administracja powiedziała, że faktycznie zwiększy to bezpieczeństwo narodowe, ponieważ rząd może podsłuchiwać ich rozmowy.
społeczność kryptograficzna skarżyła się również, że szyfrowanie Chipa Clippera nie może być właściwie ocenione przez społeczeństwo, ponieważ algorytm Skipjacka był tajny. Mogłoby to sprawić, że urządzenia do bezpiecznej komunikacji nie będą tak bezpieczne, jak reklamowane, co wpłynie na firmy i osoby, które na nich polegałyby.
w 1993 roku pod adresem& T Bell wyprodukował pierwsze i jedyne urządzenie telefoniczne oparte na chipie Clipper. Rok później Matt Blaze, badacz AT& T, opublikował poważną wadę projektu, która może pozwolić złośliwym stronom na manipulowanie oprogramowaniem. Ta wada wydawała się być ostatnim gwoździem do trumny technologii. Urządzenie AT& t było pierwszą i jedyną bezpieczną technologią komunikacyjną wykorzystującą układ Clipper; do 1996 r. układ nie był już dostępny.
patrząc na silną reakcję na chip Clipper i jego szybki upadek, możemy dowiedzieć się trochę z historii o cyberbezpieczeństwie dzisiaj. Technologie cyberbezpieczeństwa muszą istnieć w świecie dla prawdziwych ludzi, a ludzie dzisiaj bardzo dbają o prywatność. Niezależnie od tego, czy innowacje pochodzą od rządu czy przemysłu, muszą one zrównoważyć bezpieczeństwo z obawami dotyczącymi niewłaściwego wykorzystania technologii. Wszakże większość ludzi nie jest przestępcami ani terrorystami. Również tworzenie wadliwych technologii bezpieczeństwa w systemach, które są promowane jako” Bezpieczne”, może pozostawić osoby i firmy, które ufają tym narzędziom, narażone na ryzyko.