Szyfrowanie danych według Lotusa

Lotus Development zaskoczył uczestników styczniowej konferencji RSA Data Security Conference (San Francisco) stwierdzeniem, że uzyskał zezwolenie rządu USA na eksport pakietu Notes 4.0 w wersji wyposażonej w system szyfrowania, który chroni dane 16 mln razy skuteczniej niż zezwalają na to przepisy eksportowe.

Lotus Development zaskoczył uczestników styczniowej konferencji RSA Data Security Conference (San Francisco) stwierdzeniem, że uzyskał zezwolenie rządu USA na eksport pakietu Notes 4.0 w wersji wyposażonej w system szyfrowania, który chroni dane 16 mln razy skuteczniej niż zezwalają na to przepisy eksportowe.

Istota całej sprawy polega jednak na tym, że Lotus zgodził się udostępnić klucz szyfrowania rządowi USA. Pozwoli to instytucjom rządowym deszyfrować te wszystkie pliki i dokumenty, które będą kodowane przy użyciu wersji eksportowej pakietu Notes 4.0. Ray Ozzie z Lotus Development mówi, że porozumienie zawarto z National Security Agency po wielu miesiącach negocjacji i jest to roboczy, krótkoterminowy kompromis. Nie precyzuje on jednak, na czym miałby polegać kompromis długoterminowy.

Nie jest też do końca jasne, jak użytkownicy przyjmą rozwiązanie polegające na tym, że mają co prawda lepszy system szyfrowania danych, ale mogą też być potencjalnie inwigilowani przez agencje rządu USA. "Jest to aktywny sposób kontrolowania eksportu", mówi Lynn McNulty, prezydent McNulty Associates (McLean, Va.). "Wcale nie wiadomo, czy użytkownicy zechcą wpaść w ramiona wywiadu USA".

Nie wydaje się przy tym, aby inni producenci oprogramowania zamierzali postąpić podobnie jak Lotus. Netscape Communication Inc., który nie ma zbyt dobrych doświadczeń z szyfrowaniem danych, poinformował, że nie pójdzie w ślady Lotusa. Niektórzy przyjęli jednak poczynania Lotusa z zadowoleniem. Jeden ze specjalistów zajmujący się ochroną danych w dużej firmie finansowej mówi, że jego instytucja wdroży najnowszy produkt ochrony danych we wszystkich swoich filiach za granicą.

Nie do złamania

Lotus sprzedaje obecnie na rynku amerykańskim pakiet Notes wyposażony w 64übitowy klucz szyfrowania danych, którego nie można złamać nawet przy użyciu najszybciej pracujących komputerów. Jak dotąd, wersja eksportowa tego pakietu jest wyposażana w 40-bitowy klucz, który można rozszyfrować dużo łatwiej.

Cały kompromis zawarty między Lotusem i stroną rządową polega na tym, że Lotus udostępnia NSA 24 bity z całego 64-bitowego klucza. W ten sposób agencje rządowe nie znają tylko 40 bitów klucza, podczas gdy przed hakerami stoi zadanie odgadnięcia wszystkich 64 bitów.

Umowa

"Jest to dobry kompromis i potężne wsparcie dla użytkowników posiadających filie za granicą" - mówi Dorothy E. Denning, ekspert ds. szyfrowania i profesor Georgetown University w Waszyngtonie.

Nie wszyscy jednak podzielają ten pogląd podkreślając, że Lotus uległ, chociaż nie całkowicie, presji rządu USA. Cała sprawa może się skończyć tym, że wiele krajów oprotestuje taką umowę. Ozzie żartuje, że już zrobił nieco więcej miejsca na swoim dysku twardym, aby umieścić tam pocztę głosową nadsyłaną przez zaniepokojone rządy innych państw. "Przedyskutujemy z nimi całe to zagadnienie, ale nie zamierzamy robić nic specjalnego w tej materii" - mówi Ray Ozzie. 40-bitowy klucz szyfrowania był uznawany za wystarczające zabezpieczenie, ale tylko do momentu, gdy jeden ze studentów we Francji odczytał informację szyfrowaną kluczem 40-bitowym. Zachwiało to zaufaniem wielu użytkowników do tego rodzaju narzędzi, które szyfrują dane biznesowe przy użyciu 40-bitowych kluczy, które są używane w eksportowych wersjach systemów kodowania informacji. Wielu producentów oprogramowania narzekało, że tak skonstruowane bariery eksportowe narażają ich na poważne straty finansowe liczone w mln USD.

To nie jest kapitulacja

Jest jasne, że Lotus nie traktuje całej umowy jako rozwiązania trwałego i ma nadzieję, że użytkownicy podchodzą do tej sprawy w ten sam sposób. "Rozmawialiśmy o tym z naszymi zagranicznymi użytkownikami i ich odpowiedź było jasna i stanowcza - Nie" - mówi Ray Ozzie. Uważa on, że Lotus nie skapitulował w kwestii szyfrowania danych do końca, a to dlatego, że udostępnił agencji rządowej tylko część klucza szyfrowania. Edward Hart (były dyrektor działu szyfrowania danych w National Security Agency) wyznał szczerze, że NSA pomyliła się forsując bardzo kontrowersyjne rozwiązanie polegające na stosowaniu układu (procesora szyfrującego) Clipper. Metoda ta polegałaby na stosowaniu systemu szyfrowania z udziałem klucza znanego rządowi USA. Hart pytany o to, czy upieranie się agencji rządowej NSA przy tym, aby znała sekret szyfrowania danych systemu Clipper, nie spotkało się z protestami użytkowników, odpowiedział: "Odpowiadaliśmy im wtedy - jesteśmy agencją rządową i miejcie do nas zaufanie. Nie była to jednak dobra odpowiedź".