Heeft de NSA gebroken SSL? TLS? AES?

Hoe gebroken zijn van fundamenteel belang Internet security technologieën zoals Secure-Socket Layer (SSL), Advanced Encryption Standard (AES) en Transport Layer Security (TLS)? We weten nog steeds niet zeker. Maar het is duidelijk dat de; National Security Agency (NSA) vele soorten Internet encryptietechnologieën … met inbegrip van degene die we dagelijks gebruiken heeft verbroken.

In een gezamenlijk rapport, op basis van documenten die door The Guardian, drie publicaties, de New York Times (NYT), The Guardian en ProPublica, melden de volgende “nieuws”

Voordat ik duik in de details, wil ik erop wijzen dat veel van dit “nieuws” is niet echt nieuws. Sinds de oprichting in 1952, heeft de NSA de taak geweest om communicatie te onderscheppen en de encryptie te kraken. Het is de taak van de organisatie. Alleen de meest naïeve zou verbaasd zijn dat de NSA met succes heeft gebroken “vele soorten encryptie”, en dat deze overheidsinstelling heeft gebruikt alle middelen die het kon doen.

In feite, zoals ik eerder dit jaar gemeld, in de handel verkrijgbare SSL onderschepping proxy programma’s en apparaten van leveranciers zoals Blue Coat Systems en Packet Forensics mogelijk te maken, bedrijven en overheidsinstellingen te onderscheppen en te lezen SSL-communicatie.

Wat betreft de technische specificaties, worden de rapporten niet geven ons voldoende detail aan te geven welke normen en producten die de veiligheid daadwerkelijk waren gebroken. Een belangrijke doorbraak lijkt te hebben plaatsgevonden in 2010, toen het Verenigd Koninkrijk Government Communications Headquarters (GCHQ) meldde dat de NSA “cryptanalytische mogelijkheden nu online komen. Enorme hoeveelheden gecodeerde Internet gegevens die tot zijn tot nu afgedankt zijn nu misbruikt. ”

Betekent dat SSL, dat wordt gebruikt door bijna elke “veilige” Web site op de planeet, heeft zich verbroken? Kan zijn. Misschien niet.

De groepen melden dat de NSA heeft hard gewerkt aan het breken van de encryptie in universeel gebruik in de VS, met inbegrip van SSL, virtual private networks (VPN’s), en 4G-smartphones. Wat deze gemeen hebben, is hun gebruik van 256-bit AES-encryptie voor.

Het is geschat dat een brute-force aanval op een bericht versleuteld met 256-bit AES zelfs een supercomputer langer zou duren om te breken dan het universum heeft bestaan. Natuurlijk, als AES Rijndael versleutelingsalgoritme (PDF link) reeds ingebouwde zwakte zou veel gemakkelijker te breken.

Dergelijke tekortkomingen overheid emplaced zijn al eerder gevonden. In 2007, beveiligingsexpert Bruce Schneier beschreef hoe Dan Shumow en Niels Ferguson een willekeurig getal algoritme dat gebruikt kan worden in TLS bevatte hadden gevonden “een zwakte die alleen kan worden omschreven als een achterdeur.”

Zou er zo’n achterdeuren in SSL?

Paul Kocher, een cryptograaf die het ontwerp SSL geholpen, denkt van wel. Hij vertelde de NYT dat, hoewel de NSA mocht niet Clipper, een encryptie-systeem met een ingebouwde beveiliging backdoor voor de federale overheid op alle PC’s in de jaren 1990 te zetten, “zij ging en deed het toch, zonder dat iemand te vertellen.”

De ander “nieuws” is dat de NSA en GCHQ zijn op zoek naar manieren om toegang te krijgen tot de beschermde verkeer van de meest populaire Internet bedrijven: Google, Yahoo, Facebook en Microsoft’s Hotmail. Tegen 2012, had GCHQ “nieuwe toegangsmogelijkheden” in Google’s systemen ontwikkeld. Wat deze kan worden is nog onbekend.

En het is niet alleen Google. Het verhaal ook opnieuw gemeld dat Microsoft had “overhandigde de NSA toegang tot versleutelde berichten.” Microsoft, volgens het rapport ontvangen meer dan alleen toegang tot versleutelde berichten. Het bedrijf is ook gezegd te hebben gegeven de NSA toegang tot de “Outlook e-mail, Skype telefoneren via internet en chats, en SkyDrive, het bedrijf cloud storage service.

Microsoft heeft dit ontkend. Het bedrijf heeft inmiddels uitgewezen dat het en rivaal Google krachten in een zijn toegetreden; rechtszaak te onthullen hoe ze omgaan met Foreign Intelligence Surveillance Act (FISA) aanvragen.

Uiteindelijk – en het kan jaren duren – we’ll erachter te komen wat er werkelijk aan de hand met onze Internet security standaarden, privacy, en de overheid toezicht. Voor nu, blijven we steeds meer aanwijzingen dat de NSA heeft inderdaad hoog niveau toegang tot zowel de veiligheid technologieën en de bedrijven die te verkopen en ze te bedienen.

Zes manieren om jezelf te beschermen tegen de NSA en andere afluisteraars

. De NSA heeft in het geheim en met succes gewerkt aan vele soorten encryptie te kraken, de veelgebruikte technologie die wordt verondersteld om het onmogelijk maken om onderschepte communicaties, verwijzend naar de inspanningen van de NSA, een 2010 Britse document verklaarde: “Enorme hoeveelheden gecodeerde Internet data zijn nu misbruikt. ” Een andere gerelateerde Britse memo zei: “Degenen die niet al ingelicht werden gobsmacked; De NSA heeft gewerkt met Amerikaanse en buitenlandse tech bedrijven om zwakheden in commerciële encryptie producten te introduceren, waardoor achterdeur toegang tot de gegevens die gebruikers zijn van mening is beveiligd; De NSA is bewust verzwakt!. de internationale encryptie standaarden vastgesteld door ontwikkelaars over de hele wereld.

Star Trek: 50 jaar van positieve futurisme en gedurfde sociaal commentaar, Microsoft’s Surface all-in-one PC zei aan de kop van oktober hardware te lanceren; Hands on met de iPhone 7, nieuwe Apple Watch, en AirPods; Google koopt Apigee voor $ 625.000.000

 verhalen

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Groot-Brittannië, de VS staat om de meeste encryptie online gebruikt te kraken, de waanzin van het proberen om NSA spionage voorkomen door het verplaatsen van e-mail en cloud uit de VS; Hoe Snowden kreeg de NSA documenten; NSA: angst voor een zwart busje; NSA data bereiken groter dan eerste gedachte, zegt verslag; Secret rechter ‘last’ van NSA surveillance, onwettig

Veiligheid; FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; beveiliging; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber -emergency reactie van de overheid waakhond

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond