Tylne drzwi producenta
- 22.09.2009
Firmy rozwijające swoje programy mogą umieścić niepożądane opcje dodatkowe, takie jak tylne drzwi. Należy wziąć to pod uwagę przy wykorzystywaniu kluczowych systemów.
Jednym z powodów ograniczonego zaufania przy zastosowaniach wymagających szczególnego poziomu bezpieczeństwa jest historia rozwoju niektórych programów, która wskazuje na to, że firmy produkujące oprogramowanie czasami ulegają presji różnych instytucji rządowych w krajach, takich jak Stany Zjednoczone. Przypadek ten dotyczy np. oprogramowania Lotus Notes 4. W latach 1996-1999 ta platforma komunikacji i pracy grupowej była reklamowana jako znacznie bezpieczniejsza od systemów głównego konkurenta - Microsoftu. Tymczasem międzynarodowa wersja tego oprogramowania wykorzystywała bardzo osłabiony system kryptograficzny. W tym czasie algorytmy kryptograficzne o mocy 64 bitów były na tyle silne, że ich złamanie było bardzo trudne. Ale słabsza, udostępniona na rynku międzynarodowym wersja była o wiele łatwiejsza do złamania. Mechanizm konstrukcji klucza wyjaśnia to bardzo dokładnie, jest dostępny w dokumencie IBM Redbook (www.redbooks.ibm.com/abstracts/sg245341.html) na stronie 80, choć dokumentacja dotycząca współpracy z amerykańską agencją NSA (National Security Agency) została usunięta.
Ówczesna wersja systemu Lotus Notes używała klucza o długości 64 bitów, ale wersja międzynarodowa - nazywana eksportową - wysyłała 24 bity tego klucza zaszyfrowane za pomocą publicznego klucza utworzonego przez NSA. Przy realnej długości klucza rzędu 40 bitów, złamanie szyfru przez NSA było kwestią sekund. W 1996 r. udowodniono, że zabezpieczono się także przed próbami modyfikacji wiadomości i bardzo dużo danych było wysyłanych razem z wiadomością, skutkując dalszym osłabieniem siły zabezpieczenia treści. Trudno dziś ocenić ile wiadomości pochodzących z europejskich firm zostało przechwyconych i deszyfrowanych przez NSA.
Umieszczenie tylnych drzwi dla amerykańskiej agencji NSA spowodowało bardzo poważne zarzuty i niechęć europejskich firm, które całkiem słusznie obawiały się szpiegostwa przemysłowego. Wersja Lotus Notes 4 wydana na rynek francuski była jeszcze słabsza, gdyż korzystała z klucza o długości 40 bitów, co w żaden sposób nie mogło zabezpieczyć poufności transmisji. W tym czasie jednak we Francji obowiązywało prawo, które zakazywało szyfrowania wiadomości wysyłanych przez zwykłych użytkowników. Właśnie z tego powodu Netscape - zapomniany producent przeglądarki internetowej o tej samej nazwie - przygotowywała osobne wersje oprogramowania Netscape Navigator i Netscape Communicator przeznaczone dla francuskich użytkowników. W tych edycjach siła szyfrowania danych była bardzo mocno ograniczona. To samo dotyczyło oprogramowania klienta SSH.