admin 
Šio užšifruotų paslaugų užpakalinių durų kalbėjimas dar kartą atlieka raundus po to, kai paaiškėjo pranešimai, kad JK vyriausybė siekia priversti „Apple“ atidaryti „Icloud“ užšifruotų (E2EE) įrenginių atsarginių kopijų pasiūlymą. Buvo sakoma, kad pareigūnai pasilenkia „Apple“, kad paslaugoje būtų sukurta „užpakalinė duris“, kuris leistų valstybiniams veikėjams naudotis duomenimis.
JK turėjo didelių galių apriboti technologijų firmų naudojimą stipriu šifravimu nuo 2016 m. Atnaujinimo valstybės stebėjimo galių. Remiantis „The Washington Post“ pranešimais, JK pareigūnai pasinaudojo Tyrimo galių įstatymu (IPA), kad pateiktų paklausą „Apple“- ieškant „antklodžių“ prieigos prie duomenų, kuriuos jos „iCloud Advanced Data Protection“ (ADP) paslauga yra skirta apsaugoti nuo trečiojo. Vakarėlių prieiga, įskaitant patį „Apple“.
Techninė „Apple“ ADP paslaugos architektūra buvo sukurta taip, kad net technologijų milžinė nelaiko šifravimo raktų-dėl šifravimo nuo galo iki galo (E2EE)-tai leidžia „Apple“ pažadėti, kad jis turi „nulinių žinių“. iš savo vartotojų duomenų.
Užpakalinis durys yra terminas, paprastai naudojamas apibūdinti slaptą pažeidžiamumą, įterptą į kodą, kad būtų galima apeiti ar kitaip pakenkti saugumo priemonėms, kad būtų galima įgalinti trečiosioms šalims. „ICloud“ atveju užsakymas leidžia JK žvalgybos agentams ar teisėsaugai gauti prieigą prie vartotojų užšifruotų duomenų.
Nors JK vyriausybė reguliariai atsisako patvirtinti ar paneigti pranešimus apie pranešimus, paskelbtus pagal IPA, saugumo ekspertai perspėjo, kad toks slaptas užsakymas gali turėti visuotinių padarinių, jei „iPhone“ gamintojas būtų priverstas susilpninti saugumo apsaugą, kurią ji siūlo visiems vartotojams, įskaitant tuos Už Jungtinės Karalystės ribų.
Kai yra programinės įrangos pažeidžiamumas, yra rizika, kad ją gali panaudoti kitų rūšių agentai, tarkime, įsilaužėliai ir kiti blogi veikėjai, norintys gauti prieigą prie nemalonių tikslų, tokių kaip tapatybės vagystė, arba įsigyti ir parduoti neskelbtinus duomenis, arba parduoti neskelbtinus duomenis, arba Net diegti išpirkos programą.
Tai gali paaiškinti, kodėl vyraujanti frazė, naudojama aplink būsenai pagrįstus bandymus patekti į E2EE, yra ši vaizdinė užpakalinės duris; prašo a pažeidžiamumas būti tyčia Prie kodo pridedama kompromisų paprastesnė.
Norėdami naudoti pavyzdį: Kalbant apie fizines duris – pastatuose, sienose ar panašiai – niekada negarantuojama, kad tik turto savininkas ar raktų laikiklis išskirtinai naudos tą įėjimo tašką.
Kai atidarymas egzistuoja, jis sukuria prieigos potencialą – pavyzdžiui, kažkas galėtų gauti rakto kopiją ar net priversti savo kelią nutraukti duris žemyn.
Esmė: Nėra tobulai selektyvių durų, kurios egzistuoja tam, kad praeitų tik tam tikras asmuo. Jei kas nors gali įeiti, logiškai išplaukia, kad kažkas kitas taip pat galėtų naudotis durimis.
Tas pats prieigos rizikos principas taikomas pažeidžiamumams, pridedamiems prie programinės įrangos (arba, iš tikrųjų, aparatinės įrangos).
Anksčiau saugumo tarnybos plūdo „Nobus“ („Nieko, išskyrus mus“) koncepciją. Ši specifinė užpakalinė dalis paprastai remiasi jų techninių galimybių įvertinimu, kad būtų galima išnaudoti tam tikrą pažeidžiamumą, kuris yra pranašesnis už visus kitus-iš esmės, matyt, labiau apsaugotą užpakalinį duris, kurį gali pasiekti tik jų pačių agentai.
Tačiau iš prigimties technologijų meistriškumas ir galimybės yra kilnojamasis žygdarbis. Nežinomų kitų techninių galimybių vertinimas taip pat vargu ar yra tikslus mokslas. „Nobus“ koncepcija yra jau abejotinų prielaidų; Bet kokia trečiųjų šalių prieiga sukelia riziką atverti šviežius vektorius atakoms, pavyzdžiui, socialinės inžinerijos metodus, kuriais siekiama nukreipti asmenį su „įgaliota“ prieiga.
Nenuostabu, kad daugelis saugumo ekspertų atmeta Nobusą kaip iš esmės ydingą idėją. Paprasčiau tariant, bet kokia prieiga sukelia riziką; Todėl pastūmėjimas į užpakalines duris yra priešingas stipriam saugumui.
Vis dėlto, nepaisant šių aiškių ir dabartinių saugumo problemų, vyriausybės ir toliau spaudžia užpakalines duris. Dėl šios priežasties mes nuolat turime kalbėti apie juos.
Terminas „užpakalinis durys“ taip pat reiškia, kad tokie prašymai gali būti slapti, o ne vieši-lygiai taip pat, kaip galiniai durys nėra viešai nukreipti į atvykimo taškus. „Apple“ „iCloud“ atveju prašymas kompromituoti šifravimą pagal JK IPA – gavėjas, pateikdamas „techninių galimybių pranešimą“ arba TCN, negali teisiškai atskleisti. Įstatymo tikslas yra tai, kad bet kokie tokie užpakaliniai durys yra slaptos pagal dizainą. (TCN išsami informacija apie spaudą yra vienas iš informacijos bloko apeiti mechanizmą, tačiau svarbu pažymėti, kad „Apple“ dar turi pateikti viešus komentarus apie šias ataskaitas.)
Remiantis „Electronic Frontier“ fondo teisių grupe, terminas „užpakalinis durys“ datuojamas devintajame dešimtmetyje, kai „Backdoor“ (ir „Trapdoor“) buvo naudojami norint nurodyti slaptas paskyras ir (arba) slaptažodžius, sukurtus tam, kad kam nors nežinoma prieiga prie sistemos. Tačiau bėgant metams šis žodis buvo naudojamas žymėti įvairius bandymus žeminti, apeiti ar kitaip pakenkti šifravimo duomenims saugumui.
Nors „Backdoors“ vėl skelbia naujienas, JK dėka JK eina po „Apple“ užšifruotų „iCloud“ atsarginių kopijų, svarbu žinoti, kad prieigos prie duomenų prieiga reikalauja datos.
Dešimtajame dešimtmetyje, pavyzdžiui, JAV nacionalinės saugumo agentūra (NSA) sukūrė užšifruotą aparatinę įrangą, skirtą apdoroti balso ir duomenų pranešimus, kuriuose buvo iškepta užpakalinė duris – siekdama leisti saugumo tarnyboms perimti užšifruotus komunikacijas. „Clipper Chip“, kaip jis buvo žinomas, panaudojo pagrindinio sąlyginio depozitoriumo sistemą – tai reiškia, kad šifravimo raktas buvo sukurtas ir saugomas vyriausybinių agentūrų, kad būtų lengviau naudotis užšifruotais duomenimis tuo atveju, jei to nori valstybės valdžios institucijos.
NSA bandymas išpūsti lustus su keptais užpakaliniais durimis nepavyko dėl priėmimo trūkumo po saugumo ir privatumo. Nors „Clipper“ lustas yra įskaitytas už tai, kad padėjo atleisti kriptologų pastangas kurti ir skleisti stiprią šifravimo programinę įrangą siekiant apsaugoti duomenis prieš smerkiančią vyriausybės perteklių.
„Clipper Chip“ taip pat yra geras pavyzdys, kai bandymas įpareigoti sistemą buvo prieiga prie sistemos. Verta paminėti, kad ne visada turi būti paslaptis. (JK „iCloud“ atveju valstybės agentai aiškiai norėjo gauti prieigą, jei „Apple“ vartotojai apie tai nežino.)
Be to, vyriausybės dažnai naudoja emocinę propagandą, susijusią su reikalavimais prieiti prie duomenų, siekdamos palaikyti visuomenės paramą ir (arba) daryti spaudimą paslaugų teikėjams laikytis – pavyzdžiui, teigdamos, kad galimybė naudotis E2EE yra būtina kovai su vaikais prievarta ar terorizmas , arba užkirsti kelią kokiam nors kitam siaubingam nusikaltimui.
Vis dėlto užpakaliniai durys gali turėti būdą sugrįžti įkąsti savo kūrėjus. Pavyzdžiui, Kinijos remiami įsilaužėliai praėjusį rudenį buvo už kompromisą dėl federaliniu lygmens įgaliotųjų „WiretAp“ sistemų-matyt, kad gautų prieigą prie JAV „Telcos“ vartotojų ir IPT duomenis 30 metų senumo federaliniame įstatyme, kuris įgaliojo prieigą prie galinių durų (nors ir, Tokiu atveju, ne E2EE duomenų), pabrėžiant sąmoningai kepimo antklodžių prieigos taškų riziką į sistemas.
Vyriausybės taip pat turi nerimauti dėl užsienio užpakalinių durų, sukeltų riziką savo piliečiams ir nacionaliniam saugumui.
Buvo keletas atvejų, kai Kinijos aparatūra ir programinė įranga buvo įtariama, kad bėgant metams yra priglobti užpakalines duris. Susirūpinimas dėl galimo užpakalinių durų rizikos paskatino kai kurias šalis, įskaitant JK, imtis priemonių panaikinti ar apriboti Kinijos technologijų produktų, tokių kaip komponentai, naudojami kritinėje telekomunikacijų infrastruktūroje, naudojimą pastaraisiais metais. Taip pat gali būti galingas motyvatorius.
