Naš komentar osnutka Strategije kriptologije Republike Slovenije

mail-viri

Da se je republika Slovenija odločila za razvoj strategije na področju kriptologije, je zelo pohvalno dejstvo. Komunikacijska varnost je z razkritji ameriškega žvižgača Edwarda Snowdena končno dobila pozornost svetovne javnosti in državnih organov, ki so se vsak po svoje odzvali na opozorila na ogrožene digitalne komunikacije poti.

Tema je nova in razumljivo je, da se je v osnutku strategije znašlo nekaj po mojem mnenju hudo problematičnih trditev in tez, ki ne zdržijo kritične presoje in dejansko ne odpravljajo groženj, ki naj bi jih reševali z vzpostavljanjem varnega kriptiranega okolja.

Že v predgovoru lahko v šestem odstavku najdemo zapisano hudo škodljivo trditev. Avtorji osnutka strategije namreč zapišejo, da »Postavili smo strokovno izhodišče, da se šifrirne rešitve, ki se uporabljajo za varovanje podatkov, ne bi nabavljale v tujini. S takimi nabavami se dejansko razkrijejo vsi načini varovanja podatkov najmanj prodajalcu šifrirne rešitve, s tem pa se posredno poveča možnost napada na naš sistem. Pristop do kriptologije, zasnovan v strategiji, temelji na predpostavki, da država razvija lastne šifrirne rešitve tako za namene varovanja tajnih podatkov kot tudi za varovanje ostalih podatkov.«

Eden največjih svetovnih strokovnjakov na področju varnega komuniciranja in kriptologije Bruce Schneier je že leta 1999 v eseju Cryptography: The Importance of Not Being Different opozarjal na razvoj lastnih kriptografskih rešitev. Tako pojasni, da »In cryptography, there is security in following the crowd. A homegrown algorithm can’t possibly be subjected to the hundreds of thousands of hours of cryptanalysis that DES and RSA have seen. A company, or even an industry association, can’t begin to mobilize the resources that have been brought to bear against the Kerberos authentication protocol, for example. No one can duplicate the confidence that PGP offers, after years of people going over the code, line by line, looking for implementation flaws.«

Tega se zaveda vedno večje število uporabnikov v tujini. Nemčija se je letos odločila, da bo spodbujala uporabo kriptirnega sistema PGP za vladne službe, do podobne ugotovitve je prišel tudi Facebook.

Osnutek strategije opisuje ustanovitev novega državnega organa in izobraževanje strokovnjakov na področju kriptologije, ne omenja pa izobraževanj vseh uporabnikov in razširitev znanj in vedenja o načinih varovanja komunikacijskih poti in podatkov.

Kaj nam bo torej pomagalo nekaj izobraženih kadrov, če bodo končni uporabniki še vedno nevedni? In še – vsi strokovnjaki se strinjajo, da je edina zares varna zaščita komunikacijskih poti t.i. end-to-end enkripcija, pri kateri predpostavljamo, da vsi vpleteni uporabljajo isti sistem varne komunikacije. Tako ne razumem logike, zakaj bi še nerazvite lokalne sisteme postavljali pred odprtokodne, že večkrat neodvisno preverjene sisteme za varno komuniciranje (Red Phone, Textsecure, Silent Circle).

V osnutku strategije na področju kripotologije lahko dobimo občutek, da so njeni ustvarjalci na tem področju aktivni predvsem zaradi morebitnih gospodarskih priložnosti, ki bi jih pridobili z razvojem in trženjem lastnih kriptirnih sistemov in ne zato, ker bi dejansko hoteli zavarovati (vladne) uporabnike pred prisluškovanjem in nadzorom komunikacij.

Po mojem mnenju bi se morala strategija bolj ali pa predvsem usmerjati v dve smeri – dvigovanje zavesti o pomembnosti kriptirane komunikacije s preverjenimi, odprtokodnimi orodji, ki jih uporabljajo po celem svetu in omogočajo varno komunikacijo med večjim številom ljudi ter stalno izobraževanje ter preverjanje znanja s tega področja za vse vpletene.

Tako bomo namreč dvignili zavedanje ljudi o pomembnosti enkriptiranega komuniciranja ter hkrati poskrbeli, da jih bodo uporabniki tudi dejansko uporabljali. Če bomo pozornost posvečali samo razvoju in trženju lastnih sistemov za enkripcijo, bomo s tem naredili trojno škodo – zaradi nepreverjenega orodja bomo tvegali vdore, zaradi omejenega popularnosti teh tehnologij bo otežena komunikacija in končno – zaradi pomanjkanja izobraževanja in obveščanja med končnimi uporabniki tvegamo, da teh tehnologij ne bo uporabljal nihče.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.