最新的NSA Revelations对所有加密数据的安全性强烈疑虑
你每天都依靠加密,但它与好奇的政府眼睛不如你认为这是安全的。
国家安全局已经破坏了大部分加密人员,用于保护他们的电子邮件,消息,文件转移,在线购物等。这意味着NSA有能力读取此类加密文档 - 这是它在2010年之前没有的能力。
这只是来自爱德华斯诺登的一系列泄露文件的最新启示录向守护者和纽约时报。
根据报告,NSA能够通过多种方式绕过加密:通过返回门,公司在NSA的请求中建立自己的产品,通过内置的弱点,该弱点内置了NSA的影响,并通过NSA可以访问的解密密钥,使其能够解密由许多人存储的数据商业产品。
如果科技公司不同意在后门或移交解密密钥,则NSA可能会根据文件通过黑客攻击公司窃取钥匙。
“你上互联网的一切总是会出来的,”Wickr联合创始人Nico说,在接受Venturebeat采访时出售。(Wickr为加密通信制作一个应用程序。)
我们伸出谷歌和雅虎,了解与他们的电子邮件客户端相关的加密仍然是安全的,依次泄漏。两家公司都没有回复。在时代和监护人报告中,没有任何特定的公司或加密协议涉及姓名 - 但很明显NSA的解密功能普遍存在。
要了解这个问题,想象像房子一样的加密。如果您想向朋友发送私信,则不通过邮件发送给她。相反,您在房子内的桌子上放了一封信,然后锁定房子(加密消息)。为了让你的朋友来到这封信,她需要把钥匙放在你的房子里,所以你要把她的钥匙送给她。但首先,您将钥匙放在由她向您提供的特殊锁保护的信封中。你送她锁定的信封。她用自己的钥匙解锁信封并提取你的钥匙。她现在可以打开你的房子并阅读你的来信(解密消息)。
然而,此经典加密过程有一些问题:
亲自递给你朋友的关键,总是有机会拦截到你的朋友的路线。即使它被锁定(加密),第三方可能会破解锁定。承诺加密您的消息(例如电子邮件提供商)的允许可能有一个主键,这可能会让他们“解锁”通过其服务发送的任何消息。掌握钥匙给他们一个后门,如果他们被传发,他们必须给政府给予政府。但这不仅仅是政府:如果有一个主键,黑客也可以想到窃取它并使用它。在使用主密钥时,一些公司可能会在他们击中他们的服务器时解密所有消息。但这意味着数据是未加入的是其旅程的一部分 - 它没有从端到端加密(发件人到收件人)。选项2和3具有消费者的好处,即它使公司在您丢失私钥时将您提供自己的信息。但它也使政府也可以进入数据的简单方法。
“这些系统完全不安全,”Wickr首席技术官Robert Statya说。“大师钥匙是死亡的吻。”
PGP及其免费版本,GPG允许您设置上面解释的加密而无需任何类型的主密钥,但它们难以使用。
那么安全意识的人或公司是什么?
随着安全研究员布鲁斯·施奈尔指出,没有100%安全,但使用某种加密仍然比在开放式中说话更好。施奈尔说,自雪顿监督文件击中后,他一直在使用:
GPG,OTR和静音圈用于加密的MessagingTrueCrypt用于加密本地存储捆绑包,通常保持系统吱吱作响Wickr等应用还可以为您的通信提供良好的保护。该公司不允许您的未加密消息沿途触摸任何服务器,这意味着它是加密的端到端 - 这意味着甚至Wickr无法访问未加密的文本。Wickr的Statica表示您不应该与任何人共享您的私钥,只能使用端到端加密服务。
但是您仍然必须相信这些服务,卖点是安全行业的骨干。此时,任何想要使用其他公司的通信或文件转移产品的人都需要阅读其法律文件。
“阅读他们的实际法律文件,在那里他们向您提供法律承诺。他们的营销可能会说一件事,但他们的律师知道更好,“卖。
“如果有人告诉你,他们没有在室外做,他们的隐私政策说没有楼层,那么我会相信。”