مدیر امنیت سایبری در آژانس امنیت ملی هفته گذشته هنگامی که به بلومبرگ گفت که هیچ درب پشتی در استانداردهای رمزگذاری جدید که آژانس او با آن کار می کند وجود نخواهد داشت، در میان متخصصان سایبری پوزخند زد. موسسه ی ملی استانداردها و تکنولوژی (NIST).
در اصطلاح امنیت سایبری، درپشتی یک نقص عمدی در یک سیستم یا نرم افزار است که می تواند به طور مخفیانه توسط مهاجم مورد سوء استفاده قرار گیرد. در سال 2014، شایعه ای مبنی بر اینکه یک استاندارد رمزگذاری توسعه یافته توسط NSA حاوی یک درب پشتی است، منجر به حذف الگوریتم به عنوان یک استاندارد فدرال شد.
جان گان، مدیر عامل روچستر، مستقر در نیویورک، “درپشتی ها می توانند به اجرای قانون و امنیت ملی کمک کنند، اما همچنین آسیب پذیری هایی را معرفی می کنند که ممکن است توسط هکرها مورد سوء استفاده قرار گیرند و در معرض سوء استفاده احتمالی توسط آژانس هایی هستند که قصد کمک به آنها را دارند.” رمز، سازنده یک حلقه احراز هویت پوشیدنی مبتنی بر بیومتریک، به TechNewsWorld گفت.
جان بامبنک (John Bambenek)، شکارچی اصلی تهدید، اضافه کرد: «هر درب پشتی در رمزگذاری میتواند و توسط دیگران کشف شود. Netenrich، یک شرکت عملیات فناوری اطلاعات و امنیت دیجیتال در سن خوزه، کالیفرنیا.
او به TechNewsWorld گفت: «شما ممکن است به جامعه اطلاعاتی ایالات متحده اعتماد کنید. اما آیا زمانی که چینی ها و روس ها به درب پشتی دسترسی پیدا کنند، اعتماد خواهید کرد؟
اعتماد کنید اما تأیید کنید
لارنس گاسمن، رئیس و بنیانگذار درون فناوری کوانتومی، از Crozet، ویرجینیا، ارائه دهنده اطلاعات و اطلاعات در مورد محاسبات کوانتومی، معتقد است که مردم دلایل خوبی برای تردید در مورد اظهارات مقامات NSA دارند. او به TechNewsWorld گفت: «جامعه اطلاعاتی برای گفتن حقیقت مطلق شناخته شده نیست.
مایک پارکین، یکی از مهندسان، میگوید: «اناسای برخی از بهترین رمزنگاران جهان را دارد و سالها شایعات مستدلی درباره تلاشهای آنها برای قرار دادن درهای پشتی در نرمافزارهای رمزگذاری، سیستمهای عامل و سختافزار منتشر شده است.» Vulcan Cyber، ارائه دهنده SaaS برای اصلاح ریسک سایبری سازمانی، در تل آویو، اسرائیل.
او به TechNewsWorld گفت: «چیزهای مشابهی را می توان در مورد نرم افزارها و سیستم عامل های منابع دیگر کشورهایی که آژانس های خاص خود را با علاقه مندی به دیدن آنچه در ترافیک عبوری از یک شبکه وجود دارد، بیان کرد.
او ادامه داد: «چه به نام اجرای قانون باشد و چه به نام امنیت ملی، مقامات از رمزگذاری بیزاری طولانی مدت دارند.
دیو کاندیف، CISO در توصیه می کند که در مورد رمزگذاری و امنیت به طور کلی باید یک رویکرد اعتماد وجود داشته باشد اما تأیید شود. سیواتار، سازنده یک پلت فرم خودکار مدیریت امنیت سایبری، در ایروین، کالیفرنیا.
او به TechNewsWorld گفت: «سازمانها ممکن است بهترین نیتها را داشته باشند، اما در تمام طول مسیر این اهداف را نبینند. نهادهای دولتی توسط قانون مقید هستند، اما این تضمین نمیکند که درپشتی را عمدا یا ناخواسته معرفی نکنند.»
او گفت: “برای جامعه در کل ضروری است که هر یک از این مکانیسم ها را آزمایش و تأیید کند تا تأیید کند که آنها نمی توانند به خطر بیفتند.”
رام کردن اعداد اول
یکی از محرکهای پشت استانداردهای رمزگذاری جدید، تهدید محاسبات کوانتومی است که این پتانسیل را دارد که طرحهای رمزگذاری رایج را که امروزه مورد استفاده قرار میگیرند، بشکند.
جاسمین هنری، مدیر امنیت میدانی، توضیح داد: «همانطور که رایانههای کوانتومی به جریان اصلی تبدیل میشوند، الگوریتمهای رمزگذاری کلید عمومی مدرن منسوخ میشوند و حفاظت ناکافی میشوند، همانطور که در الگوریتم Shor نشان داده شده است. JupiterOne، ارائه دهنده راه حل های مدیریت دارایی های سایبری و راه حل های حاکمیتی مستقر در موریس ویل، کارولینای شمالی.
الگوریتم شور یک الگوریتم کامپیوتر کوانتومی برای محاسبه ضرایب اول اعداد صحیح است. اعداد اول پایه و اساس رمزگذاری مورد استفاده امروزه هستند.
پارکین توضیح داد: «رمزگذاری به سختی کار با اعداد اول واقعاً بزرگ بستگی دارد. محاسبات کوانتومی این پتانسیل را دارد که رمزگذاری اعداد اول را به چیزهای بی اهمیت تبدیل کند. آنچه که برای محاسبه روی یک کامپیوتر معمولی چندین نسل طول میکشید، اکنون در چند لحظه مشخص میشود.
این یک تهدید بزرگ برای فناوری رمزگذاری کلید عمومی امروزی است. دلیلی که بسیار حیاتی است این است که رمزنگاری کلید عمومی اغلب برای انتقال رمزگذاری کلید متقارن استفاده می شود. اندرو بارات، مدیر ارشد راه حل ها و تحقیقات در توضیح داد که از این کلیدها برای انتقال داده های حساس استفاده می شود. آتش زغال سنگ، ارائه دهنده خدمات مشاوره امنیت سایبری مستقر در وست مینستر، کلرادو.
او به TechNewsWorld گفت: «این پیامدهای قابل توجهی برای تقریباً تمام انتقال رمزگذاری دارد، اما همچنین برای هر چیز دیگری که به امضای دیجیتالی نیاز دارد، مانند فناوریهای بلاک چین که از ارزهای دیجیتال مانند بیتکوین پشتیبانی میکنند.
الگوریتم های مقاوم در برابر کوانتومی
گان اظهار داشت که اکثر مردم درک درستی از محاسبات کوانتومی ندارند و تفاوت زیادی با محاسبات کلاسیک امروزی ما دارد.
او گفت: «محاسبات کوانتومی هرگز در تبلت، تلفن یا ساعت مچی شما وجود نخواهد داشت، بلکه برای برنامههای خاص با استفاده از الگوریتمهای تخصصی برای کارهایی مانند جستجو و فاکتورگیری اعداد اول بزرگ استفاده میشود. “بهبود عملکرد میلیون ها نفر است.”
او افزود: «با استفاده از الگوریتم Shor و رایانههای کوانتومی آینده، AES-256، استاندارد رمزگذاری که از همه چیز در وب و همه تراکنشهای مالی آنلاین ما محافظت میکند، در مدت زمان کوتاهی شکسته خواهد شد».
بارات اظهار داشت که هنگامی که محاسبات کوانتومی برای استفاده اصلی در دسترس قرار گیرد، رمزارز باید از ریاضیات مبتنی بر اعداد اول به سیستمهای مبتنی بر رمزنگاری منحنی بیضوی (ECC) دور شود. او ادامه داد: «با این حال، این فقط یک مسئله زمان است که الگوریتمهای زیربنایی که از ECC پشتیبانی میکنند، با طراحی سیستمهای کوانتومی مخصوصاً برای شکستن آنها، در مقیاس نسبت به محاسبات کوانتومی آسیبپذیر شوند.»
آنچه NIST با کمک NSA در حال توسعه است الگوریتم های مقاوم در برابر کوانتومی است. هنری به TechNewsWorld گفت: «الزامات الگوریتمهای مقاوم در برابر کوانتومی میتواند شامل امضاهای بسیار بزرگ، بارهای پردازش یا کلیدهای عظیم باشد که میتوانند چالشهایی را برای پیادهسازی ایجاد کنند.
او افزود: «سازمانها باید با چالشهای جدید برای پیادهسازی پروتکلهای مقاوم در برابر کوانتومی بدون مواجهه با مشکلات عملکرد مقابله کنند».
زمان رسیدن؟
زمانی که یک کامپیوتر کوانتومی فعال در دسترس خواهد بود، مشخص نیست.
کندیف اظهار داشت: «به نظر نمیرسد که ما هنوز به نقطه عطف در کاربرد عملی رسیدهایم تا بتوانیم با قطعیت بگوییم جدول زمانی چیست.»
او به TechNewsWorld گفت: «با این حال، آن نقطه عطف ممکن است فردا رخ دهد و به ما اجازه دهد بگوییم که محاسبات کوانتومی در سه سال آینده به طور گسترده در دسترس خواهد بود. یک دهه دیگر.»
گسمن گفت که فکر میکند دنیا زودتر یک کامپیوتر کوانتومی را خواهد دید. او مشاهده کرد: «شرکتهای رایانههای کوانتومی میگویند که این اتفاق در 10 تا 30 سال آینده رخ خواهد داد. من فکر می کنم قبل از 10 سال اتفاق می افتد، اما نه زودتر از پنج سال.
گسمن معتقد است که قانون مور – که پیش بینی می کند قدرت محاسباتی هر دو سال دو برابر می شود – برای محاسبات کوانتومی اعمال نمی شود. او گفت: «ما از قبل می دانیم که توسعه کوانتومی با سرعت بیشتری در حال حرکت است.
او ادامه داد: “من می گویم که ما یک کامپیوتر کوانتومی سریعتر از 10 سال دیگر خواهیم داشت.” “شما افراد زیادی را پیدا نمی کنید که با من موافق باشند، اما من فکر می کنم ما اکنون باید نگران این موضوع باشیم – نه فقط به خاطر NSA، بلکه به این دلیل که افراد بسیار بدتری نسبت به NSA وجود دارند که می خواهند از این فناوری سوء استفاده کنند.”
منبع: https://www.technewsworld.com/story/nsas-claim-backdoor-off-encryption-table-draws-skepticism-from-cyber-pros-176773.html?rss=1