Tor, VPN, OTR, PGP, Truecrypt czyli czego nie potrafi dzisiaj złamać NSA

dodał 29 grudnia 2014 o 00:20 w kategorii Krypto, Prywatność  z tagami:
Tor, VPN, OTR, PGP, Truecrypt czyli czego nie potrafi dzisiaj złamać NSA

Długo przed wyciekami Snowdena wiadomo było, że NSA próbuje złamać każdy możliwy protokół kryptograficzny stosowany w sieci. Skalę i sukces tych wysiłków możemy jednak poznać dopiero w oparciu o ujawnione przez Snowdena materiały.

Jakie zatem postępy robi Departament Kryptoanalizy z budżetem ponad 30 milionów dolarów rocznie? Wiele danych przesyłanych w globalnej sieci jest obecnie zaszyfrowanych. NSA nagrywa każdy interesujący przekaz, bez względu na to, czy potrafi go dzisiaj odczytać czy nie  w nadziei, że kiedyś złamie dany algorytm szyfrowania i będzie mogła wrócić do zapisanych informacji. Dzięki opublikowanym właśnie przez Spiegla dokumentom Snowdena pochodzącym z roku 2012 wiemy, które algorytmy były już wtedy skutecznie atakowane, a które stawiały opór analitykom.

Od prostych do trudnych

W jednym z dokumentów NSA znaleźć można prostą tabelkę, w której agenci klasyfikują różne rozwiązania w zależności od tego, jak łatwo lub trudno jest im je atakować. Śledzenie dokumentów przesyłanych w sieci uznano za trywialne. Za mały problem uznano czat Facebooka. Narzędzia takie jak TeamViewer czy Join.me oraz rosyjską usługę pocztową mail.ru sklasyfikowano jako umiarkowany problem. Poważnym problemem dla agencji są rozwiązania takie jak OTR, Tor, smartfony, szyfrowane usługi pocztowe Zoho.com i Truecrypt. Z kolei na liście problemów katastrofalnych znalazło się połączenie Tora z innymi usługami zapewniającymi anonimowość jak np. VPN Trilight Zone, komunikator CSpace czy klient VoIP z szyfrowaniem ZRTP (np. RedPhone czy Signal). Wśród rozwiązań stwarzających NSA problemy nie do pokonania wymieniono także szyfrowanie PGP.

Tabelka ze slajdu NSA

Tabelka ze slajdu NSA

Problemy z usługami VPN

Dokumenty analizowane przez Spiegla wskazują, ze NSA poradziło sobie z usługami VPN używanymi przez grecki rząd. Jeden z dokumentów również wspomina ataki na dostawcę VPN SecurityKiss z Islandii. W 2009 roku wewnętrzne potrzeby agencji wynosiły ok. tysiąca żądań dostępu do danych z połączenia VPN na godzinę i przewidywano, że wzrosną one do ok. 100 000 na godzinę w roku 2011. Szacowano wówczas, ze około 20% wniosków uda się się zrealizować. Z dokumentów wynika, że VPNy oparte o PPTP stanowiły mniejszy problem dla NSA niż te oparte o IPsec. NSA uzyskało dostęp do szyfrowanych sieci takich organizacji jak rosyjskie i jordańskie linie lotnicze oraz rządów Afganistanu, Pakistanu i Turcji. W przypadku IPsec metodą ataku było przejęcie kontroli na ruterem i odzyskanie z jego pamięci kluczy szyfrujących.

HTTPS

Według dokumentów NSA planowało złamać 10 milionów połączeń HTTPS do końca roku 2012. Agencję interesowały głównie hasła dostępu do usług zabezpieczonych tym protokołem.

SSH

Spiegel znalazł wzmiankę mówiącą o tym, że NSA dysponuje rozwiązaniem umożliwiającym odszyfrowanie niektórych połączeń SSH.

Skype

Według dokumentów NSA przechwytywanie komunikacji Skype’a zaczęło się na dużą skalę w lutym 2011 a od jesieni 2011 wszystkie treści przesyłane w ramach tej aplikacji są dostępne dla analityków agencji. Co prawda sam Microsoft twierdzi, że nie udostępnia „hurtowo” danych żadnej agencji, to NSA taki właśnie dostęp posiada.

Metody ataku

By pokonać zabezpieczenia NSA i GCHQ stosują wszelkie możliwe metody ataku. Od pracy u podstaw, czyli wpływania na tworzenie standardów kryptograficznych tak, by je osłabić przed wprowadzeniem na rynek, przez ataki wymagające dużych mocy obliczeniowych, po zwykłe włamania. Skuteczną metoda pokonywania szyfrowania jest często kradzież kluczy i haseł z urządzeń je przechowujących, czy to ruterów, serwerów czy też komputerów użytkowników.

Podsumowanie

Choć dane z dokumentów Snowdena pochodzą z roku 2012, to prawdopodobnie większość z nich jest ciągle aktualna. Wygląda zatem na to, że używanie Tora w połączeniu z innymi technologiami takimi jak PGP, VPN, ZRTP i Truecrypt może faktycznie porządnie napsuć krwi NSA. W przypadku takich usług jak HTTPS czy SSH warto zapewne zweryfikować ich konfigurację w zakresie stosowanych metod szyfrowania oraz długości kluczy – prawdopodobnie gorsze/słabsze konfiguracje są już regularnie przełamywane. Warto także pamiętać, że o ile Skype chroni nasze rozmowy przed podsłuchaniem w sieci WiFi kawiarenki, to na dłuższą metę warto jednak skorzystać z innych platform.