Nikt już nie ufa amerykańskim służbom. Nawet sojusznicy krytykują ich nowe algorytmy szyfrowania

Jak ustaliła agencja prasowa Reuters, grono międzynarodowych ekspertów kryptograficznych twierdzi, że dwa nowe narzędzia do szyfrowania zaproponowane przez NSA wcale nie są bezpieczne. Amerykańska agencja zaproponowała ich wprowadzenie tylko dlatego, że... wie, jak złamać ich szyfrowanie.

Jak wprowadza się nowe standardy szyfrowania danych? Zajmuje się tym Międzynarodowa Organizacja Normalizacyjna ISO. W sprawie Simona i Specka - dwóch nowych narzędzi proponowanych przez NSA, eksperci od kryptografii przez trzy lata dyskutowali na spotkaniach za zamkniętymi drzwiami. Setki stron dokumentacji, testów i ekspertyz. Wszystko na nic.

Amerykanie przestali cieszyć się zaufaniem międzynarodowego grona ekspertów. Wszystko za sprawą informacji ujawnionych przez Edwarda Snowdena na temat NSA. Ta amerykańska agencja wywiadowcza już wcześniej próbowała manipulować standardami i promować zabezpieczenia, które wiedziała, jak złamać.

I nie jest to żadna teoria spiskowa. W dokumentach dotyczących budżetu NSA, ujawnionych przez Snowdena mogliśmy przeczytać o kosztach "tworzenia 'słabych punktów' w komercyjnych narzędziach do szyfrowania danych".

Stąd też bardzo wielu niezależnych ekspertów obawiało się, że Simon i Speck - nowe narzędzia kryptograficzne proponowane przez NSA też mają takie słabe punkty.

NSA oczywiście zaprzecza jakoby w zaproponowanych przez nią narzędziach znajdowały się jakiekolwiek backdoory. Amerykańska agencja wywiadowcza twierdzi, że opracowała te narzędzia z myślą o podmiotach komercyjnych, które współpracują z amerykańskim sektorem rządowym. Przedstawiciele agencji, zapytani o to, czy NSA byłaby w stanie złamać szyfry wykorzystywane przez Simona i Specka odpowiadają: wierzymy, że są to bezpieczne narzędzia.

Międzynarodowa Organizacja Normalizacyjna zrzesza 162 kraje. Jeśli jakaś technologia lub narzędzie zostanie przyjęte, jako standard ISO, wprowadza się je we wszystkich krajach. Wdrożenie nowych narzędzi kryptograficznych wymaga ich bardzo skomplikowanej weryfikacji. Co więcej, ISO zaliczyła już jedną wpadkę. Chociaż do dzisiaj nie jest to do końca pewne. Mowa o algorytmie Dual Elliptic Curve (DEC), który kilkanaście lat temu został przyjęty jako standard w kryptografii.

W dokumentacji NSA ujawnionej przez Edwarda Snowdena mogliśmy znaleźć wewnętrzne notatki pracowników agencji, w których wprowadzenie DEC uznane zostało za ogromny sukces NSA. W 2007 r. grono matematyków związanych z sektorem prywatnym poddało algorytm ostrej krytyce. Ich zdaniem Dual Elliptic Curve mógł zawierać w sobie backdoora, dzięki któremu NSA mogło podsłuchiwać każdego, kto zdecydował się skorzystać z szyfrowania DEC.

Pikanterii całej sprawie dodaje też fakt, że rząd Stanów Zjednoczonych zapłacił 10 mln dol. firmie RSA, za to, żeby ta umieściła algorytm DEC w swoim SDK, dystrybuowanym na cały świat. ISO i inne organizacje zajmujące się standaryzacją wycofały swoje poparcie dla Dual Elliptic Curve. Ciekawe czemu?

Afera, którą ujawnił Edward Snowden jeszcze przez wiele będzie ciągnąć się za amerykańskimi służbami wywiadowczymi. Ogromny brak zaufania ze strony ISO to tylko jeden z wielu jej negatywnych skutków. I nie zrozummy się źle - moim zdaniem ujawnienie nielegalnych operacji było bardzo potrzebne. Tyle, że obecny brak zaufania ze strony partnerów Stanów Zjednoczonych ma też swoje negatywne konsekwencje.

Algorytmy Simon i Speck po raz pierwszy zostały zaproponowane ISO w 2014 r. Proces ich standaryzacji trwa już 3 lata i przez ten czas nikomu nie udało się udowodnić, że narzędzia te rzeczywiście są w jakiś sposób wadliwe, bądź zaszyto w nich jakiekolwiek backdoory. Delegacja amerykańska przedstawiła ich dokumentację, w której opisano m.in. nieudane próby złamania obu algorytmów. Z papierów wynika więc, że są one całkowicie bezpieczne i nie stworzono ich w tzw. złej woli.

Na tym etapie wszystko sprowadza się do zaufania. Chris Mitchell, brytyjski ekspert kryptografii, zajmujący stanowisko w ISO przyznaje, że jak dotąd nikomu nie udało się złamać tych algorytmów. Przeciągający się proces ich standaryzacji wynika jego zdaniem tylko i wyłącznie z braku zaufania członków ISO do rządu Stanów Zjednoczonych.

W procesie standaryzacyjnym odrzucono na chwilę obecną wszystkie wersje algorytmów Simon i Speck, poza ich najbardziej skomplikowaną (i najbezpieczniejszą) formą. Tym udało się przejść do finalnego etapu, poprzedzającego dołączenie ich do norm ISO dotyczących szyfrowania danych. Izrael, Japonia i Niemcy nadal jednak nie zgadzają się na ich wprowadzenie w ramach ISO.

Decydujące głosowanie odbędzie się w lutym 2018 r. Do tego czasu Stany Zjednoczone mają jeszcze trochę czasu, żeby odbudować swoje zaufanie na arenie międzynarodowej.