Implicazioni della proposta di legge del senato Burr-Feinstein? [chiuso]

Naviga le tue risposte
8

È è stato riferito (Immagino sia più che una voce) che i senatori Burr e Feinstein introdurranno una legge che impone alle aziende di fornire al governo (con i mandati) l'accesso al materiale crittografato. Quindi, ci si potrebbe aspettare che il governo richieda alle aziende di mantenere un masterkey in grado di sbloccare tutta la crittografia. Non abbiamo ancora la lingua esatta del conto e il La Casa Bianca potrebbe addirittura opporsi al conto già.

Ma sono un po 'confuso riguardo alle implicazioni di tale legislazione. Mentre capisco che si può richiedere ad Apple, Facebook, Google, ecc. Di implementare sostanzialmente backdoor nello schema di crittografia, cosa significherebbe una tale politica per la crittografia?

Sarebbe, ad esempio, ragionevole supporre che una tale legislazione bandrebbe fondamentalmente la crittografia strong? Ci sono così tanti programmi là fuori che hanno implementato vari algoritmi forti (come PGP). La conseguenza di tale legislazione è che solo la crittografia predefinita utilizzata, ad esempio l'iPhone, avrà una backdoor?

È addirittura praticamente possibile mettere fuori legge tutta la crittografia avanzata?

Per essere chiari, non sto chiedendo se uno dovrebbe sostenere o meno tali misure restrittive. Mi interessa solo quali sarebbero le implicazioni di tale legislazione.

    
posta Thomas 23.03.2016 - 17:36
fonte

2 risposte

9

Penso che le implicazioni davvero interessanti siano quando guardi fuori dagli Stati Uniti. Una volta predisposto il meccanismo per richiedere legalmente una chiave o un contenuto decrittografato, gli altri paesi in cui le aziende interessate effettueranno gli affari richiederanno la stessa cosa.

Il metodo utilizzato per fornire contenuti decrittografati avrà un impatto su ciò che accadrà dopo.

  • Se la società mantiene le sue chiavi segrete e decrittografa il contenuto dell'utente su richiesta, ti ritroverai con una situazione in cui l'azienda è tenuta a rispondere alle richieste di decrittografia provenienti da tutti i tipi di agenzie straniere, e alcune di quelle saranno probabilmente per dispositivi appartenenti a cittadini del proprio paese.
  • Se la chiave stessa deve essere fornita e la società mantiene solo una chiave master per tutti i suoi prodotti, allora hai una situazione in cui i governi hanno la possibilità di decifrare i dispositivi appartenenti agli stranieri (inclusi, ad esempio, funzionari governativi o C -veloce dei dirigenti)
  • Se è necessario fornire la chiave stessa, ma esistono chiavi separate (per dispositivo o localizzate in un paese), al fine di preservare la capacità di leggere i dispositivi dei cittadini, i paesi dovrebbero effettuare l'importazione di dispositivi crittografati illegale (e, praticamente, si finisce con una situazione in cui i "cattivi" (come terroristi e agenti segreti) importano semplicemente i telefoni illegalmente e hanno una crittografia perfetta e solo i dispositivi "buoni" possono essere decifrati). Per consentire ai viaggiatori giuridici di portare i propri dispositivi nel paese, potrebbe essere necessario creare un sistema di gestione delle chiavi per importare o recuperare le chiavi da ciascun dispositivo (e, naturalmente, "è necessario eseguire questo programma sul computer per consentire l'accesso a il nostro paese "ha ulteriori implicazioni).
risposta data 23.03.2016 - 18:23
fonte
2

Cose come i server di posta S / MIME aziendali o la crittografia del disco aziendale sarebbero già conformi a questo.

Nei sistemi con cui ho lavorato (che lascerò senza nome) la generazione di chiavi per un utente finale funziona in questo modo:

  1. Le chiavi private di firma / non ripetizione sono generate sul lato client e mai condivise con nessuno.

  2. Le chiavi private di crittografia possono essere generate lato server e passate in modo sicuro al client, oppure generate lato client e passate in modo sicuro al server. (Un amministratore del server può configurarlo in modo che le chiavi di decodifica vengano memorizzate solo sul lato client, ma non lo farebbe mai per i motivi di ripristino dei dati elencati di seguito.)

  3. Le chiavi di decrittografia sono archiviate sul server, crittografate con una chiave del server principale (che si spera sia conservata in un HSM ) .

    • Nel caso in cui un utente perda / distrugga le proprie chiavi, i documenti crittografati non vengono persi perché il server può ripristinare le chiavi di decrittografia.
    • Nel caso in cui alcune terze parti vogliano accedere ai documenti crittografati per loro (ad esempio, se il dipendente lascia, o dirigenti aziendali vogliono un accesso diretto, o c'è un mandato governativo), le chiavi di decrittografia per quell'utente possono essere recuperate direttamente da il server da un amministratore di alto livello.

L'implicazione qui è che se lavori per un'azienda; i tuoi dati non sono mai stati tuoi per cominciare, sono sempre appartenuti all'azienda e hanno il diritto di accedervi.

L'altro caso che stai chiedendo è che i cittadini privati utilizzino strumenti personali di crittografia come PGP. È qui che avviene la tempesta di merda. Le forze dell'ordine statunitensi stanno cercando di darsi il diritto di dire "Dateci le chiavi di decrittazione per vedere le prove, o vi stiamo mandando in prigione per l'uso della crittografia!" ? Sarebbe terrificante e meritevole di protesta pubblica, ma come menzionato nei commenti: questo è decisamente fuori tema per questo sito, quindi mi fermerò qui.

    
risposta data 23.03.2016 - 17:48
fonte

Leggi altre domande sui tag

Sicurezza software V.S Sicurezza hardware Cifratura dei dati per l'app per dispositivi mobili Android