Computerworld.pl
 
  1. Strona główna
  2. Felietiony
  3. Tylne drzwi producenta

Tylne drzwi producenta

Tylne drzwi w algorytmie

Czasami tylne drzwi mogą być zaprogramowane nie w samej aplikacji czy algorytmie szyfrującym, ale mogą w nieoficjalny sposób być umieszczone w jednym ze składników motoru kryptograficznego. Problem dotyczy generatora liczb losowych, który wykorzystuje algorytm Dual_EC_DRBG zalecany przez amerykański Narodowy Instytut Standardów i Technologii (NIST), bazujący na krzywych eliptycznych. Informacje na ten temat podał dwa lata temu Bruce Schneier. Idąc za tropem dokumentu opublikowanego przez dwóch inżynierów z Microsoftu (Dan Shumow oraz Niels Ferguson), sugeruje on, że w generatorze wykorzystującym ten schemat jest matematyczny twór, który sprawia, że generator ten staje się w pewien sposób przewidywalny. Potwierdził to także Phil Zimmerman (twórca PGP oraz Zfone) mówiąc, że tego generatora liczb losowych nie wolno wykorzystywać.

Oczywiście nie ma dowodu na to, że agencje, takie jak NSA, przygotowywały wymieniony schemat lub brały udział w forsowaniu jego szerokiej adopcji. Niemniej należy pamiętać, że generator ten jest o rząd wielkości wolniejszy od konkurentów. Jest przy tym bardziej skomplikowany. Wprowadzenie tylnych drzwi w postaci odpowiedniego algorytmu do powszechnie używanych składników oprogramowania jest więc teoretycznie możliwe. W przypadku odpowiedniej konstrukcji, takie tylne drzwi będą obecne w wielu produktach, niezależnie od implementacji i producenta. Oznacza to, że bardzo wiele aplikacji biznesowych może być podatnych na atak. Prawdopodobieństwo nie jest zbyt duże, ale istnieje.

Szpiegostwo przemysłowe

W przypadku aplikacji biznesowych należy pamiętać, że pozostawiony backdoor może mieć bardzo poważne skutki biznesowe. Dzisiejsze przedsiębiorstwa korzystają powszechnie z rozwiązań kryptograficznych, które chronią poufne informacje, przesyłane w obrębie korporacji lub między organizacjami. Gdyby jakakolwiek instytucja spoza danego kraju miała dostęp do wysyłanych danych, prawdopodobne byłoby wykorzystanie ich do prowadzenia procederu szpiegostwa przemysłowego. Przykładem sieci, która może do tego celu posłużyć, jest amerykański Echelon.

Bardzo popularne aplikacje, obecne na wielu komputerach także mogą być wyposażane w specjalne opcje, ułatwiające przechwycenie informacji. Przykładem oprogramowania, które to na pewno posiada jest Skype. Popularna (także w Polsce) aplikacja VoIP bywa nawet wykorzystywana w firmach, gdyż umożliwia darmowe połączenia między użytkownikami tej sieci.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas