NSA lahko bere večino šifrirnega, ne pa vsega

V Hamburgu se danes končuje 31. konferenca CCC (Chaos Communication Congress), na kateri vsako leto v zadnjih decembra predstavijo novosti na področju računalniške varnosti. V sodelovanju z nemškim Spieglom so prikazali zadnje znane podatke o sposobnosti NSA in drugih obveščevalnih služb dešifrirati in prestrezati komunikacijo prek interneta. Kot smo lani pisali, ovir za NSA ni več veliko, a nekaj jih vseeno ostaja.

NSA in partnerji si na vse načine prizadevajo pridobiti dostop do vse šifrirane komunikacije prek interneta, pri čemer gredo tako daleč, da šifrirano komunikacijo označujejo kot grožnjo (threat). Ponudniki infrastrukture in uporabniki seveda gledajo na stvari drugače, kar vidimo že imena, saj govorijo o varni komunikaciji. Pred dvajsetimi leti je NSA upravičeno predpostavljala, da je vsak kos šifrirane komunikacije na internetu pomemben, saj so imele ustrezno tehnologije le države. Danes pa je situacija drugačna, saj je šifriranje nepogrešljiva sestavina e-bančništva, spletnega nakupovanja, telefonije prek interneta, čedalje pogosteje pa jo uporabljamo kar pri vsaki uporabi interneta.

Težavnost prebiranja posameznih sporočil NSA razdeli v pet razredov - trivialna, nizka, srednja, visoka, katastrofalna. Sledenje nešifriranemu sporočilu je trivialno enostavno, spremljanje pogovora po Facebooku je nizke težavnosti, prebiranje priponk v šifrirani pošti ponudnika mail.ru pa srednje težavno. Do sem ni nobenih problemov, za NSA se začne pravo delo šele pri četrti stopnji, kamor sodijo Tor, ponudnik šifrirane e-pošte Zoho, šifriranje s TrueCryptom, ali protokola PGP in OTR. V peto stopnjo, torej katastrofalno težko dešifriranje, vstopimo s kombinirano uporabo storitev, npr. Tora in sistema za hipno sporočanje CSpace ali ZRTP za VoIP. Posebej zanimiv je že dvajset let star PGP, ki je še danes pretrd oreh. NSA leta 2012, za katero imamo podatke, teh načinov šifriranja ni zmogla razbiti, poznavalci pa dvomijo, da so v dveh letih bistveno napredovali.

VPN po drugi strani ni niti približno anonimen. NSA nima sposobnosti dešifriranja vseh povezav VPN, a po drugi strani zlahka razbija tiste, ki jo zanimajo. Trenutno v Fort Meadu na sedežu NSA teče velik projekt, ki je namenjen prestrezanju in slabljenju VPN. Leta 2012 so zmogli nadzorovati 20.000 VPN-povezav na uro. PPTP-implementacija VPN je bolj ranljiva, kar vemo že dolgo, a tudi Ipsec ni kakšna velika ovira. NSA si tu pomaga tudi s fizičnim dostopom do usmerjevalnikov, kar zanje počne enota TAO. V isto kategorijo sodijo tudi povezave prek SSL/TLS, ki tudi niso več problem.

Posebej zabavna je dvojna vloga NSA. Po eni strani si prizadevajo zlomiti čim več šifrirnih algoritmov, kjer ne izbirajo sredstev - fizični vdori, slabljenje standardov, kraja ključev, podtikanje trojancev - po drugi strani pa NSA potrebuje močen šifrirni algoritem za lastno uporabo. NSA celo sodeluje kot svetovalec za NIST, ki standardizira algoritme za šifriranje v ZDA. In NSA jim priporoča uporabo AES, hkrati pa ima sama aktivno enoto, ki se ukvarja izključno z iskanjem lukenj v AES.