GN⁺: 미국이 암호화된 데이터에 뒷문을 설치하려 한 간략한 역사 (2016년)

 (atlasobscura.com)
1P by neo 6달전 | favorite | 댓글 1개

미국의 암호화된 데이터에 백도어 추가 시도의 간략한 역사

  • 미국 정부는 소비자의 기술 데이터 보호와 정부의 정보 접근 권리에 대한 오랜 싸움에서 최근 드라마틱한 사건이 발생함.
  • 2015년 동안 미국 정치인들과 법 집행 기관은 소프트웨어와 하드웨어에 암호학적 '백도어'를 삽입하여 법 집행 기관이 인증을 우회하고 용의자의 데이터에 몰래 접근할 수 있도록 공개적으로 로비함.
  • 사이버 보안 전문가들은 이러한 백도어가 암호화를 근본적으로 약화시킬 수 있으며 범죄자들에 의해 악용될 수 있다고 일치된 의견을 제시함.

암호화의 중요한 발전과 백도어의 역사

  • 제2차 세계대전 동안 나치의 통신을 암호화하는 데 사용된 에니그마 기계는 암호학에서 중요한 발전임.
  • 에니그마 기계에 백도어가 설치되었다는 소문이 있었으나, BBC의 조사에 따르면 백도어는 없었지만, Crypto AG는 미국과 영국 정보기관에 기계의 기술 사양과 구매 국가에 대한 정보를 제공하는 '신사협정'을 맺음.
  • 1993년 NSA는 '클리퍼 칩'을 촉진했으나, 1994년 연구자 Matt Blaze가 발견한 취약점으로 인해 1996년에는 사용되지 않게 됨.

최근의 백도어 시도와 정부의 반응

  • NSA는 Dual_EC_DRBG 알고리즘에 백도어를 삽입한 것으로 밝혀졌으며, 이 알고리즘은 2007년 랜덤 번호 생성기의 공식 표준으로 발표됨.
  • 네덜란드 정부는 백도어 사용을 거부하고 오픈 암호화 표준을 지원하기로 결정했으며, 프랑스도 파리 테러 공격에 대한 반응으로 백도어 의무화를 거부함.
  • 애플 대 FBI 사건이 법정을 통과하는 동안, NSA의 암호화를 무력화하기 위한 비밀 노력은 계속될 것으로 예상됨.

GN⁺의 의견

  • 이 기사는 미국 정부가 암호화된 데이터에 백도어를 설치하려는 시도의 역사를 개관하는 것으로, 개인의 프라이버시와 국가 보안 간의 지속적인 긴장 관계를 보여줌.
  • 사이버 보안 전문가들과 기술 산업이 어떻게 이러한 백도어에 반대하는지, 그리고 이러한 백도어가 실제로 암호화를 약화시킬 수 있는지에 대한 통찰을 제공함.
  • 애플 대 FBI 사건과 같은 주요 법적 사건들이 앞으로도 개인의 프라이버시와 데이터 보안을 둘러싼 논쟁에서 중요한 역할을 할 것임을 시사함.
neo 6달전  [-]
Hacker News 의견

  • ITAR 규정에 대한 언급:

    • ITAR 규정이 Phil Zimmerman이 PGP 128비트 암호화 기술을 수출하는 것을 막았음.
    • Zimmerman과 MIT 프레스가 소스 코드를 책으로 출판하여 제1수정안에 의해 보호받음으로써 해외에서 OCR과 재컴파일이 가능해짐.
    • ITAR 덕분에 남아프리카의 Thawte가 미국 외 지역에서 128비트 SSL 인증서 판매를 독점함.
    • Thawte는 Verizon에 6억 달러에 인수되었고, 창립자 Mark Shuttleworth는 그 자금으로 우주비행사가 되고 우분투를 설립함.

  • Crypto AG에 대한 새로운 정보:

    • 2020년 2월 11일, 워싱턴 포스트, ZDF, SRF가 Crypto AG가 CIA와 서독 정보기관의 비밀 파트너십으로 소유되었으며, 이 기관들이 암호화된 메시지를 쉽게 해독할 수 있었다고 밝힘.

  • 2016년 기사의 배경:

    • 2015년 샌버나디노 공격 이후 FBI가 공격자의 아이폰에 접근하려 했고, Apple은 모든 아이폰에 임의의 펌웨어/앱/OS를 설치할 수 있는 인증서를 원하는 FBI의 요청에 저항함.

  • SHA 알고리즘의 기원에 대한 호기심:

    • 한 사용자가 SHA-0에 대한 정보를 얻기 위해 NSA에 정보 자유법(FOIA) 요청을 함.
    • NSA로부터 비용이 많이 들 것이라는 대략적인 답변을 받은 후 NSA 웹사이트 접근이 차단됨.

  • 인텔 ME와 AMD의 보안 취약점:

    • 새로운 칩을 사용하는 사용자는 인텔 ME(또는 AMD의 동등한 기능)로 인해 보안에 큰 구멍이 있으며, OS로는 패치할 수 없음.
    • puri.sm이 이 문제를 해결하기 위한 조치를 취하고 있지만 효과에 대한 정보는 불분명함.

  • NSA가 리눅스 커널에 넣으려 했던 speck과 simon 암호화 알고리즘:

    • NSA가 리눅스 커널에 speck과 simon 암호화 알고리즘을 포함시키려 했으나, Schneier와 같은 전문가들의 비판으로 결국 제거됨.

  • 미국의 암호화 알고리즘 수출 정책:

    • 미국은 오랫동안 암호화 알고리즘을 무기로 간주하고 수출에 무기 수출 허가가 필요했음.
    • 미국 정부는 56비트 암호화만으로 충분하다고 주장하며, DES를 사용하여 은행과 기타 기관의 통신을 "보호"하도록 허용함.

  • NSA의 타원 곡선 암호화에 대한 의혹:

    • NSA가 타원 곡선 암호화의 시드에 자체적인 "매직 넘버"를 넣었다는 의혹이 있음.

  • Enigma/Crypto AG 혼동과 David Kahn의 사망:

    • 기사에서 Enigma와 Crypto AG의 혼동이 있었으나, 많은 사람들이 주목하지 않았음.
    • David Kahn의 사망을 기리기 위해 이 정보를 공유하는 것이 적절하다고 생각함.
답변달기