Bicara tentang belakang dalam layanan terenkripsi lagi putaran nanti Laporan muncul Bahwa pemerintah Inggris ingin memaksa Apple untuk membuka Penawaran cadangan dari perangkat ekstrem ekstrem ekstrem ke iCloud (E2EE). Dikatakan bahwa para pejabat bersandar pada Apple untuk membuat “pintu belakang” dalam layanan yang akan memungkinkan aktor negara untuk mengakses data dengan jelas.
Inggris telah memiliki kekuatan radikal untuk membatasi penggunaan perusahaan teknologi dari enkripsi yang kuat sejak a Pembaruan 2016 untuk kekuatan pengawasan negara bagian. Menurut laporan tentang Washington PostPejabat Inggris telah menggunakan undang -undang tentang Kekuatan Penelitian (IPA) untuk menempatkan permintaan Apple, mencari akses “umum” ke data yang dirancang untuk melindungi dari akses pihak ketiga, termasuk Apple sendiri.
Arsitektur teknis Layanan ADP Apple telah dirancang sedemikian rupa sehingga bahkan raksasa teknologi tidak memiliki kunci enkripsi, berkat penggunaan End -to -end enkripsi (E2EE) – Biarkan Apple berjanji bahwa ia memiliki “nol pengetahuan” dari data penggunanya.
KE Pintu belakang Ini adalah istilah yang biasanya diimplementasikan untuk menggambarkan kerentanan rahasia yang dimasukkan dalam kode untuk menghindari atau merusak langkah -langkah keamanan untuk memungkinkan pihak ketiga. Dalam kasus iCloud, perintah tersebut memungkinkan agen intelijen Inggris atau penerapan undang -undang untuk mendapatkan akses ke data yang dienkripsi pengguna.
Sementara pemerintah Inggris biasanya menolak untuk mengkonfirmasi atau menolak laporan pemberitahuan yang dikeluarkan di bawah IPA, para ahli keamanan telah memperingatkan bahwa perintah rahasia semacam itu Bisa memiliki konsekuensi global Jika produsen iPhone dipaksa untuk melemahkan perlindungan keamanan yang ditawarkan kepada semua pengguna, termasuk yang terletak di luar Inggris.
Setelah ada kerentanan dalam perangkat lunak, ada risiko bahwa itu dapat dieksploitasi oleh jenis agen lainnya, mereka mengatakan bajak laut komputer dan aktor jahat lainnya yang ingin mendapatkan akses untuk tujuan yang menghancurkan, seperti pencurian identitas, atau memperoleh dan menjual rahasia data, atau bahkan untuk mengimplementasikan ransomware.
Ini dapat menjelaskan mengapa tulisan dominan yang digunakan di sekitar upaya yang didorong oleh keadaan mendapatkan akses ke E2EE adalah abstraksi visual dari pintu belakang ini; meminta a kerentanan menjadi dengan sengaja Ditambahkan ke kode membuat kompensasi lebih jelas.
Untuk menggunakan contoh: ketika datang ke pintu fisik, di gedung, dinding atau yang serupa, tidak pernah dijamin bahwa hanya pemilik atau pemilik properti yang akan menggunakan eksklusif titik masuk tersebut.
Setelah ada pembukaan, buat potensi akses: seseorang bisa mendapatkan salinan kunci, misalnya, atau bahkan memaksa jalan mereka memecahkan pintu.
Kesimpulannya: Tidak ada pintu selektif yang sempurna untuk membiarkan orang tertentu lulus. Jika seseorang dapat masuk, itu mengikuti secara logis bahwa orang lain juga dapat menggunakan pintu.
Prinsip risiko akses yang sama berlaku untuk kerentanan yang ditambahkan ke perangkat lunak (atau, pada kenyataannya, perangkat keras).
Konsep Nobus (“Tidak seorang pun kecuali kita”) telah melayang oleh layanan keamanan di masa lalu. Jenis pintu belakang khusus ini umumnya didasarkan pada evaluasi kemampuan teknisnya untuk mengeksploitasi kerentanan tertentu yang lebih unggul dari orang lain, pada dasarnya pintu belakang yang tampaknya lebih aman yang hanya dapat secara eksklusif mengakses agennya sendiri.
Tetapi sebagai alam, keterampilan dan kemampuan teknologi adalah prestasi seluler. Mengevaluasi kapasitas teknis orang asing lainnya juga bukan ilmu yang tepat. Konsep “Nobus” sudah dalam asumsi yang dipertanyakan; Akses pihak ketiga mana pun menciptakan risiko membuka vektor baru untuk serangan itu, seperti teknik rekayasa sosial yang bertujuan menyerang orang tersebut dengan akses “resmi”.
Seperti yang diharapkan, banyak pakar keamanan membuang Noble sebagai ide yang secara fundamental cacat. Singkatnya, akses apa pun menciptakan risiko; Oleh karena itu, menekan pintu belakang adalah antitetik terhadap keamanan yang kuat.
Namun, terlepas dari masalah keamanan yang jelas dan saat ini Pemerintah terus menekan pintu belakang. Itulah sebabnya kami terus membicarakannya.
Istilah “pintu belakang” juga menyiratkan bahwa permintaan tersebut dapat berupa klandestin, alih -alih menjadi publik, serta titik masuk bukan titik masuk. Dalam kasus iCloud of Apple, penerima tidak dapat secara legal mengungkapkan permintaan komitmen untuk melakukan IPA dari Inggris, melalui “pemberitahuan kapasitas teknis” atau TCN. Tujuan hukum adalah bahwa salah satu pintu yang mendasarinya adalah rahasia oleh desain. (Dia adalah detail TCN ke pers adalah mekanisme untuk menghindari blok informasi, tetapi penting untuk diingat bahwa Apple belum membuat komentar publik tentang laporan ini).
Menurut kelompok haknya Yayasan Perbatasan ElektronikIstilah “pintu belakang” berasal dari tahun 1980 -an, ketika pintu belakang (dan “springboard”) digunakan untuk merujuk ke akun rahasia dan/atau kata sandi yang dibuat untuk memungkinkan seseorang akses yang tidak diketahui ke suatu sistem. Tetapi selama bertahun -tahun, kata tersebut telah digunakan untuk memberi label berbagai upaya untuk menurunkan, menghindari atau mengkompromikan keamanan data yang diaktifkan oleh enkripsi.
Sementara backdoors ada di berita lagi, berkat Inggris setelah cadangan iCloud dienkripsi oleh Apple, penting untuk mempertimbangkan bahwa akses ke data memerlukan tanggal beberapa dekade.
Pada 1990 -an, misalnya, Badan Keamanan Nasional Amerika Serikat (NSA) mengembangkan perangkat keras terenkripsi untuk memproses pesan suara dan data yang memiliki pintu belakang yang dipanggang, dengan tujuan memungkinkan layanan keamanan untuk mencegat komunikasi yang dienkripsi “Chip Clipper”, seperti yang diketahui, menggunakan sistem tahanan utama, yang berarti bahwa lembaga pemerintah membuat dan menyimpan kunci enkripsi untuk memfasilitasi akses ke data terenkripsi jika yang diinginkan oleh otoritas negara.
Upaya NSA untuk mencambuk chip dengan pintu belakang yang dipanggang gagal karena kurangnya adopsi setelah reaksi kekerasan terhadap keamanan dan privasi. Meskipun chip Clipper terakreditasi untuk membantu mengaktifkan upaya para kriptolog untuk mengembangkan dan menyebarkan perangkat lunak enkripsi yang kuat dalam upaya untuk memastikan data terhadap penjangkauan pemerintah kurva.
Chip Clipper juga merupakan contoh yang baik di mana upaya untuk menuntut akses sistem dilakukan secara publik. Perlu dicatat bahwa pintu belakang tidak selalu harus rahasia. (Dalam kasus iCloud of the Britania Raya, agen negara jelas ingin mengakses tanpa tahu pengguna Apple).
Selain itu, pemerintah sering menampilkan propaganda emosional di sekitar tuntutan mengakses data dalam upaya untuk meningkatkan dukungan publik dan/atau menekan pemasok layanan untuk mematuhi, bagaimana berargumen bahwa akses ke E2EE diperlukan untuk memerangi pelecehan atau terorisme anak, atau menghindari beberapa kejahatan keji lainnya.
Namun, pintu belakang dapat memiliki cara untuk menggigit pencipta mereka lagi. Misalnya, Bajak laut komputer didukung oleh China Mereka berada di belakang komitmen sistem telepon mandat federal Musim gugur yang lalu -Agala, memperoleh akses ke data dari AS dan pengguna ISP AS.
Pemerintah juga harus khawatir tentang kemungkinan bagian belakang asing yang menciptakan risiko bagi warga negara mereka sendiri dan keamanan nasional.
Berbagai contoh perangkat keras dan perangkat lunak Tiongkok yang rumah di pintu belakang selama bertahun -tahun diduga. Kekhawatiran tentang kemungkinan risiko pintu belakang memimpin beberapa negara, termasuk InggrisUntuk mengambil langkah -langkah untuk menghilangkan atau membatasi penggunaan produk teknologi Cina, seperti komponen yang digunakan dalam infrastruktur telekomunikasi kritis, dalam beberapa tahun terakhir. Ketakutan pintu belakang juga bisa menjadi motivator yang kuat.
