Non rivelare la password quando torturata? [duplicare]

0

In Citizenfour, Edward Snowden dice:

Because some of these documents are legitimately classified, in ways that could cause harm to people and methods... Um, I'm comfortable in my technical ability, uh, to protect them. I mean, you could literally shoot me or torture me, and I could not disclose the password if I wanted to. Um... You know, I... I have the sophistication to do that. There are some journalists that I think could do that, but there are a number of them that couldn't. But the question becomes, can an organization actually control that information in that manner without risking basically an uncontrolled disclosure?

Quale metodo permetterebbe di ottenere ciò? In particolare, come è possibile controllare un'informazione ma non essere in grado di rivelare il metodo per accedervi quando viene torturato?

    
posta twowo 25.07.2017 - 20:14
fonte

2 risposte

2

Tutti i metodi di crittografia hanno una chiave segreta che deve essere archiviata da qualche parte. La citazione non dice che non può "rivelare il metodo per accedervi", dice solo che non è coinvolta alcuna password. Questa è una dichiarazione molto più debole.

Questa domanda fondamentalmente dipende dal fatto che esistano schemi di crittografia che non si basano su un cervello umano per archiviare il segreto. La risposta è si. Questi due mi vengono in mente in cima alla testa:

  • Crittografia a chiave pubblica : come suggerito nei commenti, se ha inviato i dati a un amico, crittografato con la loro chiave pubblica e quindi cancellato la sua copia, Edward Snowden non avrebbe più legittimamente accesso ai dati ( ma l'amico può restituirglielo se necessario)
  • Crittografia basata su hardware : con questo intendo qualsiasi sistema in cui la chiave di crittografia è archiviata nell'hardware. Un esempio potrebbe essere un laptop con crittografia completa del disco in cui le chiavi sono memorizzate su una smart card ; a meno che tu non abbia la carta, nessuna quantità di parole-chiave con decrittografare l'hard disk!
  • Bassa tecnologia È anche possibile che stia utilizzando una soluzione a tecnologia più bassa di quella che si sta immaginando, ad esempio generando una password casuale di 64 caratteri, scrivendo su carta e dando la carta a un amico o memorizzandola in un caveau di una banca.

Non sto cercando di implicare che nessuna di queste misure sia conveniente, o anche particolarmente buona, ma che contino come "crittografia senza password" quanto basta per rendere vera la sua affermazione. O forse ha un sistema di crittografia magico in cui lui e solo lui hanno accesso ai dati indipendentemente da quante informazioni ti danno.

Informazioni sui giornalisti: ho aiutato alcuni giornalisti a installare sistemi di crittografia digitale e sono completamente d'accordo con questa affermazione secondo cui le capacità tecniche e l'atteggiamento verso la protezione delle informazioni sensibili variano da giornalista a giornalista!

    
risposta data 25.07.2017 - 20:35
fonte
0

Probabilmente sta parlando di una qualche forma di divisione delle chiavi. Per le chiavi ad alta sicurezza, nessuna persona ha accesso alla chiave necessaria per l'accesso. Se implementasse la suddivisione delle chiavi, la sua porzione della chiave non sarebbe in grado di funzionare da sola, quindi più persone dovrebbero essere torturate per le loro parti prima che i dati possano essere sbloccati.

In alternativa, ci sono alcune misure meno affidabili che utilizzano hardware anti-manomissione per renderlo un azzardo tecnico per provare ad accedere a una chiave. Questi tipi di sistemi possono essere impostati con un codice di "coercizione" che, una volta immesso, determinerà la distruzione permanente della chiave. Finché l'attaccante non è stato in grado di superare i meccanismi anti-manomissione e preservare i dati prima dell'entrata dell'input della coercizione (o impedire la cancellazione dei tentativi), il codice verrebbe cancellato e non ci sarebbe più modo per recuperarlo.

È impossibile dirlo con certezza senza ulteriori informazioni, ma entrambi sono in cima allo spettro di sicurezza.

    
risposta data 25.07.2017 - 22:15
fonte

Leggi altre domande sui tag