Video: Why The Government Shouldn't Break WhatsApp (Oktober 2024)
En DEA-rapport indhentet af CNet har afsløret, at retshåndhævelsen er blevet stumpet af meddelelser sendt over Apples krypterede iMessage-system. Det viser sig, at kryptering kun er halvdelen af problemet, og det er virkelig lovgivning, der holder iMessages usynlige for retshåndhævelse.
I henhold til ACLUs hovedteknolog Christopher Soghoian, ph.d., ligger det virkelige spørgsmål i loven om kommunikationshjælp til retshåndhævelse eller CALEA, der blev vedtaget i 1994.
Soghoian fortalte sikkerhedslovgivningen, "krævede, at industrier bygger op aflytningskapaciteter til deres netværk." Disse brancher omfattede telefon- og bredbåndsselskaber, men ikke virksomheder som Apple. iMessage adskiller sig også fra normal tekstbeskeder, fordi den både krypterer meddelelsen og sender den peer-to-peer mellem iPhones uden at berøre et operatørs netværk.
I de to årtier, siden loven blev vedtaget, har kommunikationslandskabet ændret sig dramatisk. Apple var ikke med i kommunikationsspelet i 1994, og de fleste øjeblikkelige kommunikationer blev udført af telefonselskaber.
"Traditionelt har den amerikanske regering udført langt de fleste overvågninger med hjælp fra telefonselskaberne, " sagde Soghoian, der kaldte telefonselskaberne en "betroet partner" af retshåndhævelse.
Kryptering betyder undtagelse
Et andet kritisk aspekt af CALEA omhandler krypteret besked, hovedsageligt at det er fritaget for al trådløs overvågning. Soghoian forklarede, at kommunikation, "krypteret med en nøgle, der ikke er kendt af virksomheden, ikke kan blive opfanget." Så i en situation, hvor dekrypteringsnøglerne håndteres på enheden, og ikke af hvem der leverer meddelelserne, så skal retshåndhævelse ignorere beskeden helt.
Dette spørgsmål blev nævnt i DEA-rapporten, citeret af CNet: "iMessages mellem to Apple-enheder betragtes som krypteret kommunikation og kan ikke opfanges, uanset mobiltelefonudbyder." Rapporten bemærker dog, at afhængigt af hvor afskærmningen er placeret, kan meddelelser, der sendes til andre telefoner, læses. Dette er sandsynligvis fordi disse meddelelser ikke er krypteret og derfor er synlige for retshåndhævelse under CALEA.
UPDATE: Den nøjagtige ordlyd fra CALEA om kryptering lyder:
"En telekommunikationsselskab er ikke ansvarlig for dekryptering eller sikring af regeringens evne til at dekryptere enhver kommunikation, der er krypteret af en abonnent eller kunde, medmindre krypteringen blev leveret af transportøren og transportøren besidder de oplysninger, der er nødvendige for at dekryptere kommunikationen."
Tilfældigt sikkert
Det, der er vigtigt at bemærke, er, at Apple ikke forsøgte at gøre sine meddelelser usynlige for regeringen. Tværtimod ønsket den simpelthen at fremstille et kvalitetsprodukt og skubbede det som standard til en enorm brugerbase. Soghoian sagde, at dette skyldes, at Silicon Valley har mere et sikkerhedssindet end telefonselskaberne. "Du kan ikke få et sikkerhedsteam til at godkende en service, der ikke bruger nogen kryptering, " forklarede han og nævnte den lange gennemgangs interne proces, som mange nye kommunikationsprodukter skal passere.
"iMessage blev designet for et par år siden, tekstmeddelelsessystemet blev designet for årtier siden, " fortsatte Soghoian. "Ældre systemer er skammeligt usikre, men Silicon Valley er sikkert. Det er hvad de gør."
Men bare fordi iMessages ikke umiddelbart er tilgængelige til aflytning giver ikke fuld beskyttelse. "Med den rigtige slags system, " sagde Soghoian. "Apple-meddelelser kunne blive opfanget." Det drejer sig om, at Apple ikke giver nogen indikation til parterne i en iMessage-chat om, at en ny enhed er blevet introduceret. Soghoian sagde, at hvis du gik til apple-butikken, fik en ny telefon og fik nulstillet dit kodeord, kunne du chatte med dine venner, som om intet var sket. "Det betyder, at æble også kunne gøre det for regeringen."
iMessage har også andre problemer. Tjenesten blev for nylig brugt i et benægtelse af tjenesteangreb, fordi det har ringe eller ingen grænser for, hvor mange meddelelser der kan sendes, og ingen midler til at blokere krænkende beskeder.
Selvom Apple måske netop har arbejdet på at bygge det bedste produkt, det kunne, har andre virksomheder som TextSecure og Silent Circle anført at være fri for aflytning ved design. Disse systemer indeholder ende til ende kryptering, der håndteres, ligesom iMessage, over netværk, der administreres af apps 'skabere. Det betyder, at under CALEA er meddelelserne fuldstændig usynlige for retshåndhævelse ud over at de er alle undtagen umulige at dekryptere.
Acceptabel risiko
Den måde, CALEA adresserer disse problemer på, kan virke problematisk, og DEA-klagerne fremhæver bestemt problemet. Soghoian påpeger dog, at det at gøre systemer let at overvåge ikke gør dem mere sikre. "En service, der er let for FBI at overvåge, er også let for kineserne at hacke, " sagde Soghoian. "Når du lader en bagdør være åben, lader du den være åben for alle."
I en tid med store dataovertrædelser i populære virksomheder og cyber-varm krig mellem nationer, bliver Washington sandsynligvis nødt til at acceptere ikke at have det begge veje.
UPDATE:
Jon Callas, CTO for det sikre meddelelses- og stemmevirksomhed Silent Circle gentog mange af de følelser, vi allerede har drøftet. "iMessage er et tilfælde, hvor et større firma kom med en teknologi, der er god for både dem og deres kunder, uden at der er tænkt på, hvad regeringen kunne lide."
Dette er i skarp kontrast til tonen fra CALEA, der er indbygget en bagdør, der er tilsluttet wiretapping. "iMessage skulle være en billig, sikker måde at udføre en SMS-udveksling på, " sagde Callas. "Det var ikke på listen over funktioner, der var venlige over for regeringen."
