TrustyCon chce ułatwić odbudowę zaufania

Konferencja TrustyCon rozbłysła zanim jeszcze się zaczęła. Jej organizator Alex Stamos, dyrektor ds. technologii w firmie Artemis Internet należącej do NCC Group, twierdzi, że ma mieszane odczucia co do idei bojkotu RSA, a pomysł na konferencję TrustyCon na pewno nie wziął się z chęci przeciwstawienia się tej firmie. Jednocześnie, jego zdaniem, kwestie wiarygodności i bezpieczeństwa w sieci będą coraz częściej poruszane, a konferencja TrustyCon będzie odbywać się jeszcze przez wiele lat. Co ciekawe, wezmą w niej udział niektórzy z buntowników Konferencji RSA. Zapytany o to, czy można ufać NSA, twierdzi, że podwójna rola tej agencji utrudnia rozróżnienie co do tego, z jaką NSA rozmawia się w danym momencie.

Pełniąc funkcję gwaranta bezpieczeństwa informacji, NSA wyznacza standardy dla firm i zapewnia bezpieczeństwo informacji rządowych przed tymi, którzy chcą zaszkodzić państwu – wyjaśnia Alex Stamos. Ale realizując część swoich wywiadowczych obowiązków, NSA angażuje się w wiele praktyk, które mają na celu uzyskanie dostępu do informacji i zbieranie danych, co niekoniecznie jest zgodne z interesami firm i osób prywatnych. W wyniku informacji ujawnionych przez Snowdena, wiele firm w branży technologicznej oferujących wszelkiego rodzaju usługi online zyskało poczucie „bycia zdradzonymi”. Zwłaszcza, gdy mowa o tym, że agencja NSA bardzo starała się ograniczyć efektywność ich zabezpieczeń w celu uzyskania pożądanych informacji – dodaje Alex Stamos.

Dziś większość ekspertów ds. bezpieczeństwa IT wierzy, że algorytm Dual EC DRBG to tylne drzwi NSA. Największym problemem firm jest jednak to, czy mogą zaufać standardom NIST. – Nie mogą, bo jeśli NIST blisko współpracuje z NSA, to oznacza, że aprobuje „tylne drzwi” NSA w standardach – dodaje Alex Stamos.

Algorytm Dual EC DRBG, ustandaryzowany przez NIST w 2006 roku, jest wykorzystywany w wielu produktach sieciowych, w tym tych wykorzystujących BSAFE i oferowanych przez RSA należącą do EMC. Po oburzeniu wywołanym jesienią 2013 roku przez informację, że algorytm ten to najprawdopodobniej „tylne drzwi” dla NSA, instytut NIST ponownie otworzył stronę umożliwiającą prezentację komentarzy dotyczących standardu, co jest zwykłym działaniem podczas opracowywania nowych specyfikacji.

Materiały opublikowane na stronie internetowej NIST przez Johna Kelseya, wskazują na to, że instytut rzeczywiście wierzy w to, że algorytm Dual EC DRBG mógł być wykorzystywany przez NSA. Dlatego organizacja planuje usunąć go z listy standardów. Jednak ani John Kelsey, który był zaangażowany w proces akceptacji algorytmu, ani inni przedstawiciele NIST nie chcieli oficjalnie komentować takiej informacji.

Z dokumentu „800-90 and Dual EC DRBG, John Kelsey, NIST” wynika, że można będzie ustalić, gdzie znajduje się luka. Przede wszystkim analizowane są opisy techniczne „parametrów P i Q” Dual EC DRBG, które pochodzą „od projektantów algorytmu pracujących w NSA”. Jednocześnie NIST broni się przypominając, że na jesieni 2013 roku opublikował „biuletyn zalecający zaprzestanie stosowania algorytmu Dual EC DRBG do czasu jego weryfikacji”.

Działania NIST są jednak dość powolne, a wielu dostawców systemów bezpieczeństwa już usunęło lub zablokowało ten algorytm w swoich produktach.

Warto jednocześnie zauważyć, że prezydent Obama w swoim ostatnim przemówieniu na temat NSA, nie podjął drażliwego tematu „tylnych drzwi” i osłabiania zabezpieczeń przez tą instytucję.