يقوم الحديث عن Backdoors في الخدمات المشفرة مرة أخرى بالجولات بعد ظهور تقارير بأن حكومة المملكة المتحدة تسعى إلى إجبار Apple على فتح عرض نسخة احتياطية من أجهزة ICLOUD المشفرة (E2EE). وقيل إن المسؤولين يميلون على Apple لإنشاء “الباب الخلفي” في الخدمة التي من شأنها أن تسمح للجهات الفاعلة الحكومية بالوصول إلى البيانات بشكل واضح.
تتمتع المملكة المتحدة بسلطات شاملة للحد من استخدام شركات التكنولوجيا للتشفير القوي منذ اجتياز تحديث 2016 لسلطات المراقبة الحكومية. وفقًا لتقارير واشنطن بوست ، استخدم مسؤولو المملكة المتحدة قانون صلاحيات التحقيق (IPA) لوضع الطلب على Apple- طلب الوصول إلى “بطانية” إلى البيانات التي تم تصميم خدمة ICLOUD المتقدمة للحماية من البيانات (ADP) للحماية من الثالث- وصول الحزب ، بما في ذلك Apple نفسها.
تم تصميم الهندسة المعمارية الفنية لخدمة ADP من Apple بطريقة حتى أن عملاق التكنولوجيا لا يحتفظ بمفاتيح التشفير-بفضل استخدام التشفير الشامل (E2EE)-مما يتيح لـ Apple الوعد بأنها “معرفة صفرية” من بيانات مستخدميها.
الباب الخلفي هو مصطلح يتم نشره عادةً لوصف الضعف السري الذي يتم إدراجه في رمز للتحايل أو تقويض التدابير الأمنية أو تقويضه من أجل تمكين أطراف ثالثة. في قضية iCloud ، يسمح الطلب وكلاء الاستخبارات في المملكة المتحدة أو تطبيق القانون بالوصول إلى البيانات المشفرة للمستخدمين.
في حين أن حكومة المملكة المتحدة ترفض بشكل روتيني تأكيد أو رفض تقارير الإشعارات الصادرة بموجب IPA ، فقد حذر خبراء الأمن من أن مثل هذا الطلب السري يمكن أن يكون له تداعيات عالمية إذا أجبر صانع iPhone على إضعاف الحماية الأمنية التي يقدمها لجميع المستخدمين ، بما في ذلك الموقع خارج المملكة المتحدة.
بمجرد وجود ثغرة أمنية في البرامج ، هناك خطر من استغلاله من قبل أنواع أخرى من الوكلاء ، كما يقول المتسللون وغيرهم من الجهات الفاعلة السيئة التي ترغب في الوصول إلى أغراض شائنة – مثل سرقة الهوية ، أو الحصول حتى لنشر برامج الفدية.
قد يفسر هذا السبب في أن الصياغة السائدة المستخدمة حول المحاولات التي تحركها الدولة للوصول إلى E2EE هي التجريد البصري للورق الخلفي ؛ طلب وهن يكون عمدا إضافة إلى الكود يجعل المقايضات واضحة.
لاستخدام مثال: عندما يتعلق الأمر بالأبواب المادية – في المباني أو الجدران أو ما شابه – لا يضمن أبدًا أن يكون لمالك العقار أو صاحب المفتاح فقط استخدام حصري لنقطة الدخول هذه.
بمجرد وجود فتحة ، فإنه يخلق إمكانية للوصول – يمكن لشخص ما الحصول على نسخة من المفتاح ، على سبيل المثال ، أو حتى يفرض طريقه عن طريق كسر الباب.
خلاصة القول: لا يوجد مدخل انتقائي تمامًا موجود للسماح لشخص معين فقط بالمرور. إذا تمكن شخص ما من الدخول ، يتبع ذلك بشكل منطقي أن يكون شخص آخر قادرًا على استخدام الباب أيضًا.
ينطبق مبدأ مخاطر الوصول نفسه على نقاط الضعف المضافة إلى البرامج (أو في الواقع ، الأجهزة).
لقد تم طرح مفهوم نوبوس (“لا أحد غيرنا”) من قبل خدمات الأمن في الماضي. يعتمد هذا النوع المحدد من الباب الخلفي عادةً على تقييم لقدراته الفنية لاستغلال ثغرة أمنية معينة من أن تكون متفوقة على جميع الآخرين-أساسًا ظاهريًا أكثر ثباتًا لا يمكن الوصول إليه بشكل حصري من قبل وكلاءهم.
ولكن من خلال الطبيعة ، براعة التكنولوجيا والقدرة هي إنجاز متحرك. إن تقييم القدرات الفنية للآخرين غير المعروفين هو أيضًا علم دقيق. يجلس مفهوم “Nobus” على افتراضات مشكوك فيها بالفعل ؛ أي وصول من طرف ثالث يخلق خطر فتح متجهات جديدة للهجوم ، مثل تقنيات الهندسة الاجتماعية التي تهدف إلى استهداف الشخص من خلال الوصول “المعتمد”.
مما لا يثير الدهشة ، أن العديد من خبراء الأمن يرفضون نوبوس كفكرة معيبة بشكل أساسي. ببساطة ، أي وصول يخلق المخاطر ؛ لذلك ، فإن الضغط على الخلفية هو مناهض للأمن القوي.
ومع ذلك ، بغض النظر عن هذه المخاوف الأمنية الواضحة والحالية ، تواصل الحكومات الضغط على الخلفية. وهذا هو السبب في أننا نستمر في التحدث عنهم.
يشير مصطلح “Backdoor” أيضًا إلى أن مثل هذه الطلبات يمكن أن تكون سرية ، وليس عامة-تمامًا كما لا توجد نقاط دخول مواجهة للجمهور. في حالة icloud من Apple ، لا يمكن الكشف قانونًا عن طلب التنازل عن التشفير بموجب IPA في المملكة المتحدة – عن طريق “إشعار القدرة الفنية” أو TCN – من قبل المستلم. نية القانون هي أن أي من هذا القبيل السرية سرية حسب التصميم. (تسرب تفاصيل TCN إلى الصحافة هي إحدى الآليات للتحايل على كتلة المعلومات ، ولكن من المهم أن نلاحظ أن Apple لم تقم بعد بأي تعليق عام على هذه التقارير.)
وفقًا لمجموعة الحقوق ، تم استخدام مؤسسة Frontier Foundation ، المصطلح “Backdoor” إلى الثمانينات ، عندما تم استخدام Backdoor (و “Trapdoor”) للإشارة إلى الحسابات السرية و/أو كلمات المرور التي تم إنشاؤها للسماح لشخص غير معروف بالوصول إلى نظام. ولكن على مر السنين ، تم استخدام الكلمة لتسمية مجموعة واسعة من المحاولات للتحلل أو التحايل على أمان البيانات أو التمسك به بواسطة التشفير.
أثناء وجود Backdoors في الأخبار مرة أخرى ، بفضل المملكة المتحدة التي تلاحق النسخ الاحتياطية لـ ICLOUD المشفرة من Apple ، من المهم أن ندرك أن متطلبات الوصول إلى البيانات تعود إلى عقود.
مرة أخرى في التسعينيات ، على سبيل المثال ، طورت وكالة الأمن القومي الأمريكية (NSA) أجهزة مشفرة لمعالجة رسائل الصوت والبيانات التي كانت قد خبزت بها – بهدف السماح لخدمات الأمن باعتراض الاتصالات المشفرة. استخدمت “Clipper Chip” ، كما كان معروفًا ، نظامًا من الضمان الرئيسي – مما يعني إنشاء مفتاح تشفير وتخزينه من قبل الوكالات الحكومية من أجل تسهيل الوصول إلى البيانات المشفرة في حالة رغبت سلطات الدولة في.
فشلت محاولة NSA لجلد الرقائق مع الخلفيات المخبوزة بسبب نقص التبني في أعقاب رد فعل عنيف الأمن والخصوصية. على الرغم من أن شريحة Clipper تُعزى إلى المساعدة في إطلاق جهود أخصائيي التشفير لتطوير ونشر برامج تشفير قوية في محاولة لتأمين البيانات ضد تجاوزات حكومة المتطفلين.
تعد رقاقة Clipper أيضًا مثالًا جيدًا على المكان الذي تم فيه إجراء الوصول إلى النظام علنًا. تجدر الإشارة إلى أن الخلفية لا يجب أن تكون سرية دائمًا. (في حالة Icloud في المملكة المتحدة ، أراد وكلاء الدولة بوضوح الوصول دون معرفة مستخدمي Apple بذلك.)
أضف إلى ذلك ، في كثير من الأحيان تنشر الحكومات الدعاية العاطفية حول مطالب الوصول إلى البيانات في محاولة لتكوين الدعم العام و/أو الضغط على مقدمي الخدمات للامتثال – مثل القول بأن الوصول إلى E2EE ضروري لمكافحة إساءة معاملة الأطفال ، أو الإرهاب ، أو منع بعض الجريمة البشعة الأخرى.
يمكن أن يكون للظهر الخلفي وسيلة للعودة لدغة المبدعين. على سبيل المثال ، كان المتسللون المدعومون في الصين وراء وسط أنظمة التنصت على الجداول الفدرالية التي تم إمكانية الوصول إليها على ما يبدو-الوصول إلى بيانات مستخدمي الاتصالات الأمريكية ومواصفات الإنترنت بفضل القانون الفيدرالي البالغ من العمر 30 عامًا والذي فرض الوصول إلى الورقة الخلفية (وإن كان ، وإن كان ذلك ، (وإن كان ، في هذه الحالة ، من البيانات غير E2EE) ، مما يؤكد على مخاطر نقاط الوصول إلى خبز بطانية عن عمد إلى أنظمة.
يجب أن تقلق الحكومات أيضًا بشأن خلق الخلفيات الأجنبية تخاطر بمواطنيها والأمن القومي.
كانت هناك حالات متعددة للأجهزة والبرامج الصينية التي يشتبه في أنها تؤوي أجهزة خلفية على مر السنين. أدت المخاوف المتعلقة بالمخاطر المحتملة للورق الخلفي لبعض البلدان ، بما في ذلك المملكة المتحدة ، إلى اتخاذ خطوات لإزالة أو الحد من استخدام المنتجات التقنية الصينية ، مثل المكونات المستخدمة في البنية التحتية للاتصالات الحرجة ، في السنوات الأخيرة. يمكن أن تكون المخاوف من الخلفية أيضًا حافزًا قويًا.
Source link
اكتشاف المزيد من مؤسسة اشراق العالم لتقنية المعلومات-خدمات مواقع ومتاجر الإنترنت
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.