درک رمزنگاری: دروازه پشتی چیست و چگونه کار می‌کند؟

در روزهای اخیر، بحث در مورد وجود درب‌های پشتی در خدمات رمزگذاری شده دوباره داغ شده است. گزارش‌ها نشان می‌دهند که دولت بریتانیا در تلاش است تا اپل را مجبور کند تا دسترسی به نسخه پشتیبانی رمزگذاری شده (E2EE) iCloud را باز کند. مقامات به اپل فشار می‌آورند تا یک درب پشتی در این سرویس ایجاد کند که به بازیگران دولتی اجازه دسترسی به داده‌ها به صورت واضح را بدهد.

دولت بریتانیا از سال ۲۰۱۶ که به‌روزرسانی‌های گسترده‌ای در زمینه نظارت دولتی انجام داد، قدرت‌های وسیعی برای محدود کردن استفاده از رمزگذاری قوی توسط شرکت‌های فناوری دارد. به گزارش واشنگتن پست، مقامات بریتانیا از قانون قدرت‌های تحقیقاتی (IPA) برای وارد کردن این درخواست به اپل استفاده کرده‌اند و به دنبال دسترسی کلی به داده‌ها هستند که خدمات پیشرفته حفاظت از داده‌های iCloud (ADP) این شرکت برای جلوگیری از دسترسی شخص ثالث طراحی شده است، حتی خود اپل.

معماری فنی سرویس ADP اپل به گونه‌ای طراحی شده است که حتی این غول فناوری نیز کلیدهای رمزگذاری را در اختیار ندارد — به لطف استفاده از رمزگذاری انتها به انتها (E2EE) — که به اپل این امکان را می‌دهد که ادعا کند هیچ دانشی از داده‌های کاربران خود ندارد.

اصطلاح درب پشتی معمولاً برای توصیف یک آسیب‌پذیری مخفی که به کد اضافه شده است تا تدابیر امنیتی را دور بزند یا تضعیف کند، به کار می‌رود. در مورد iCloud، این دستور به مأموران اطلاعاتی یا اجرای قانون بریتانیا اجازه می‌دهد به داده‌های رمزنگاری شده کاربران دسترسی پیدا کنند.

در حالی که دولت بریتانیا به‌طور مرتب از تأیید یا رد گزارش‌های مربوط به اعلان‌های صادر شده تحت قانون IPA خودداری می‌کند، کارشناسان امنیتی هشدار داده‌اند که چنین دستوری می‌تواند پیامدهای جهانی داشته باشد اگر سازنده آیفون مجبور شود تدابیر امنیتی که به همه کاربران، از جمله کسانی که در خارج از بریتانیا هستند، ارائه می‌دهد را تضعیف کند.

زمانی که یک آسیب‌پذیری در نرم‌افزار وجود داشته باشد، این خطر وجود دارد که توسط انواع دیگر بازیگران، مانند هکرها و سایر بازیگران بد، برای مقاصد شوم مورد سوءاستفاده قرار گیرد — مانند سرقت هویت، یا به‌دست آوردن و فروش داده‌های حساس، یا حتی به کارگیری باج‌افزار.

این ممکن است توضیح دهد که چرا عبارت غالب استفاده شده در تلاش‌های دولتی برای دسترسی به E2EE، این تجسم بصری از یک درب پشتی است؛ درخواست برای افزودن عمدی آسیب‌پذیری به کد، تعادل‌های موجود را واضح‌تر می‌کند.

به عنوان یک مثال: در مورد درهای فیزیکی — در ساختمان‌ها، دیوارها یا موارد مشابه — هرگز تضمین نمی‌شود که فقط مالک ملک یا دارنده کلید حق دسترسی انحصاری به آن نقطه ورودی را داشته باشد.

زمانی که یک ورودی وجود داشته باشد، این امکان برای دسترسی ایجاد می‌شود — کسی می‌تواند نسخه‌ای از کلید را به‌دست آورد، به عنوان مثال، یا حتی می‌تواند با شکستن در وارد شود.

READ سایت اشتراک‌گذاری ژنتیک openSNP به دلیل نگرانی‌های حریم خصوصی و افزایش دولت‌های اقتدارگرا تعطیل می‌شود!

نتیجه‌گیری: هیچ درگاه کاملاً انتخابی وجود ندارد که فقط به یک شخص خاص اجازه عبور بدهد. اگر کسی می‌تواند وارد شود، منطقی است که شخص دیگری نیز ممکن است بتواند از در استفاده کند.

همین اصل ریسک دسترسی به آسیب‌پذیری‌هایی که به نرم‌افزار (یا حتی سخت‌افزار) اضافه شده‌اند، قابل اعمال است.

مفهموم NOBUS (هیچ‌کس به جز ما) در گذشته توسط خدمات امنیتی مطرح شده است. این نوع خاص از درب پشتی معمولاً بر اساس ارزیابی از توانایی‌های فنی خود برای بهره‌برداری از یک آسیب‌پذیری خاص به‌طور برتر از سایرین قرار دارد — در واقع یک درب پشتی به‌ظاهر امن‌تر که فقط به طور انحصاری توسط مأموران خودشان قابل دسترسی است.

اما به ذات خود، توانایی‌های فناوری و قابلیت‌ها یک feat متحرک هستند. ارزیابی توانایی‌های فنی دیگران ناشناخته نیز به‌هیچ‌وجه یک علم دقیق نیست. مفهوم NOBUS بر پایه فرضیات مشکوک قرار دارد؛ هرگونه دسترسی شخص ثالث ریسک ایجاد دسترسی‌های جدید برای حمله را ایجاد می‌کند، مانند تکنیک‌های مهندسی اجتماعی که هدف قرار دادن شخص با دسترسی «مجاز» هستند.

غافلگیرکننده نیست که بسیاری از کارشناسان امنیتی NOBUS را به عنوان یک ایده بنیادی ناکارآمد رد کنند. به سادگی، هرگونه دسترسی ریسک ایجاد می‌کند؛ بنابراین، فشار برای ایجاد درب‌های پشتی با امنیت قوی در تضاد است.

با این حال، با وجود این نگرانی‌های امنیتی واضح و فوری، دولت‌ها به فشار برای ایجاد درب‌های پشتی ادامه می‌دهند. به همین دلیل است که ما همچنان مجبور به صحبت در مورد آن‌ها هستیم.

اصطلاح درب پشتی همچنین به این معنی است که چنین درخواست‌هایی می‌تواند پنهانی باشد، نه عمومی — درست مانند اینکه درب‌های پشتی نقاط ورودی عمومی نیستند. در مورد iCloud اپل، درخواست برای تضعیف رمزگذاری که تحت قانون IPA بریتانیا انجام شده — به‌وسیله یک اعلان توانایی فنی (TCN) — نمی‌تواند به‌طور قانونی توسط گیرنده افشا شود. هدف این قانون این است که هرگونه درب پشتی به‌طور عمدی پنهان باشد. (افشای جزئیات یک TCN به مطبوعات یکی از مکانیزم‌ها برای دور زدن بلوک اطلاعات است، اما مهم است که اشاره کنیم که اپل هنوز هیچ نظری عمومی در مورد این گزارش‌ها نداده است.)

به گفته گروه حقوقی بنیاد مرزهای الکترونیکی، اصطلاح درب پشتی به دهه ۱۹۸۰ برمی‌گردد، زمانی که درب پشتی و درب تله برای اشاره به حساب‌ها و یا رمزهای عبور مخفی استفاده می‌شد که به شخص ناشناس اجازه دسترسی به یک سیستم را می‌دهد. اما در طول سال‌ها، این کلمه برای نامگذاری طیف وسیعی از تلاش‌ها برای تضعیف، دور زدن یا به‌طور دیگری به خطر انداختن امنیت داده‌ها که توسط رمزگذاری تأمین می‌شود، استفاده شده است.

READ نفوذ داده‌ای PowerSchool: ۱۶,۰۰۰ دانش‌آموز در بریتانیا تحت تأثیر قرار گرفتند!

در حالی که درب‌های پشتی دوباره در اخبار قرار دارند، به لطف تلاش‌های بریتانیا برای دسترسی به نسخه‌های پشتی رمزگذاری شده iCloud اپل، مهم است که بدانید درخواست‌های دسترسی به داده‌ها به دهه‌ها قبل برمی‌گردد.

به عنوان مثال، در دهه ۱۹۹۰، آژانس امنیت ملی ایالات متحده (NSA) سخت‌افزار رمزگذاری شده‌ای برای پردازش پیام‌های صوتی و داده‌ها توسعه داد که یک درب پشتی در آن تعبیه شده بود — با هدف اجازه دادن به خدمات امنیتی برای شنود ارتباطات رمزگذاری شده. چیپ کلایپر، به‌عنوان مثال شناخته می‌شد، از یک سیستم کلید امانت‌گذاری استفاده می‌کرد — یعنی یک کلید رمزگذاری ایجاد و ذخیره می‌شد تا دسترسی به داده‌های رمزگذاری شده در صورتی که مقامات دولتی خواهان ورود بودند، تسهیل شود.

تلاش NSA برای فروش چیپ‌های با درب‌های پشتی به دلیل عدم پذیرش پس از واکنش امنیتی و حریم خصوصی به شکست انجامید. با وجود این، چیپ کلایپر به توسعه و گسترش نرم‌افزارهای رمزگذاری قوی کمک کرد تا داده‌ها را در برابر تجاوزات دولتی محافظت کند.

چیپ کلایپر همچنین نمونه خوبی از جایی است که تلاش برای تحمیل دسترسی به سیستم به‌طور عمومی انجام شده است. شایان ذکر است که درب‌های پشتی همیشه نیازی به پنهان بودن ندارند. (در مورد iCloud بریتانیا، به وضوح مقامات دولتی خواهان دسترسی به داده‌ها بدون اطلاع کاربران اپل بودند.)

علاوه بر این، دولت‌ها به‌طور مکرر از تبلیغات احساسی در مورد درخواست‌های دسترسی به داده‌ها استفاده می‌کنند تا حمایت عمومی را جلب کنند و/یا فشار بر ارائه‌دهندگان خدمات برای تطابق ایجاد کنند — مانند این ادعا که دسترسی به E2EE برای مبارزه با سوءاستفاده از کودکان، تروریسم یا جلوگیری از برخی دیگر از جنایات شنیع ضروری است.

درب‌های پشتی می‌توانند به شیوه‌ای به سازندگان خود آسیب برسانند. به عنوان مثال، هکرهای مورد حمایت چین در پاییز گذشته با نفوذ به سیستم‌های نظارت الکترونیکی که به‌صورت فدرال mand شده بودند، به داده‌های کاربران شرکت‌های مخابراتی و اینترنتی ایالات متحده دسترسی پیدا کردند — به‌طور ظاهری به لطف یک قانون فدرال ۳۰ ساله که دسترسی درب پشتی را mand کرده بود (هرچند در این مورد، داده‌های غیر E2EE) و خطرات ایجاد نقاط دسترسی عمومی به سیستم‌ها را برجسته می‌کند.

دولت‌ها همچنین باید نگران درب‌های پشتی خارجی باشند که می‌تواند خطراتی برای شهروندان خود و امنیت ملی ایجاد کند.

در طول سال‌ها، چندین مورد از سخت‌افزار و نرم‌افزار چینی به دلیل داشتن درب‌های پشتی مظنون بوده‌اند. نگرانی‌ها درباره خطرات احتمالی درب‌های پشتی منجر به اقداماتی از سوی برخی کشورها، از جمله بریتانیا، برای حذف یا محدود کردن استفاده از محصولات فناوری چینی، مانند اجزای استفاده شده در زیرساخت‌های مخابراتی حیاتی، در سال‌های اخیر شده است. ترس از درب‌های پشتی نیز می‌تواند یک محرک قوی باشد.