विषयसूची:
मई 2013 में, एडवर्ड स्नोडेन ने अपना वाटरशेड डॉक्यूमेंट रिलीज़ शुरू किया, जो एन्क्रिप्टेड डिजिटल संचार की हमारी धारणा को हिला देगा। सुरक्षा विशेषज्ञ, जो लोग एन्क्रिप्शन पर भरोसा करते हैं, और यहां तक कि एन्क्रिप्शन अनुप्रयोगों के निर्माता स्वयं अब परेशान हैं कि फिर से एन्क्रिप्शन पर भरोसा करना असंभव हो सकता है।
क्या भरोसा करने के लिए नहीं है?
यह एक जटिल मुद्दा है, खासकर क्योंकि यह प्रतीत होता है कि एन्क्रिप्शन के पीछे गणित अभी भी ठोस है। पिछले वर्ष के दौरान प्रश्न पर क्या कहा गया है कि एन्क्रिप्शन कैसे लागू किया गया है। नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड एंड टेस्टिंग (एनआईएसटी) और माइक्रोसॉफ्ट जैसे संगठन कथित तौर पर एन्क्रिप्शन मानकों से समझौता करने और सरकारी एजेंसियों के साथ मिलीभगत करने के लिए हॉट सीट पर हैं।
नवंबर 2013 में, स्नोडेन द्वारा जारी किए गए दस्तावेजों ने एनआईएसटी पर अपने एन्क्रिप्शन एल्गोरिथ्म को कमजोर करने का आरोप लगाया, जिससे अन्य सरकारी एजेंसियों को निगरानी करने की अनुमति मिली। आरोपी होने पर, एनआईएसटी ने खुद को खत्म करने के लिए कदम उठाए। इस ब्लॉग में एनआईएसटी के प्रमुख साइबर अशुद्धि सलाहकार डोना डोडसन के अनुसार, "लीक हुए वर्गीकृत दस्तावेजों के बारे में समाचार रिपोर्टों ने क्रिप्टोग्राफिक समुदाय से एनआईएसटी क्रिप्टोग्राफिक मानकों और दिशानिर्देशों की सुरक्षा के बारे में चिंता का कारण बना है। एनआईएसटी इन रिपोर्टों से भी गहराई से चिंतित है, जिनमें से कुछ ने कहा है। NIST मानक विकास प्रक्रिया की अखंडता पर सवाल उठाया। "
NIST सही मायने में चिंतित है - दुनिया के क्रिप्टोग्राफिक विशेषज्ञों का भरोसा नहीं होने से इंटरनेट की नींव हिल जाएगी। NIST ने 22 अप्रैल 2014 को अपने ब्लॉग को अपडेट किया, NISTIR 7977 पर प्राप्त सार्वजनिक टिप्पणियों को जोड़ा: NIST क्रिप्टोग्राफ़िक मानक और दिशानिर्देश विकास प्रक्रिया, मानक का अध्ययन करने वाले विशेषज्ञों से टिप्पणी। उम्मीद है, एनआईएसटी और क्रिप्टोग्राफिक समुदाय एक सहमत समाधान के लिए आ सकते हैं।
विशालकाय सॉफ़्टवेयर प्रदाता Microsoft के साथ जो हुआ वह थोड़ा अधिक अस्पष्ट था। Redmond Magazine के अनुसार, FBI और NSA दोनों ने Microsoft को कंपनी के ड्राइव-एन्क्रिप्शन प्रोग्राम BitLocker के पिछले दरवाजे में निर्माण करने के लिए कहा। लेख के लेखक क्रिस पाओली ने बिटकॉकर टीम के प्रमुख पीटर बिडल का साक्षात्कार लिया, जिन्होंने उल्लेख किया कि माइक्रोसॉफ्ट को एजेंसियों द्वारा एक अजीब स्थिति में रखा गया था। हालांकि, उन्हें इसका हल मिल गया।
पाओली ने बताया, "जबकि बिडल ने पिछले दरवाजे में निर्माण से इनकार किया, उनकी टीम ने एफबीआई के साथ काम करके उन्हें सिखाया कि वे डेटा कैसे प्राप्त कर सकते हैं, जिसमें उपयोगकर्ताओं के बैकअप एन्क्रिप्शन कुंजी को लक्षित करना शामिल है।"
TrueCrypt के बारे में क्या?
धूल लगभग Microsoft के BitLocker के आसपास बस गई। फिर, मई 2014 में, गुप्त ट्रू-क्रिप्ट डेवलपमेंट टीम ने क्रिप्टोग्राफी की दुनिया को झटका दिया, यह घोषणा करते हुए कि ट्रू क्रिप्ट, प्रमुख ओपन-सोर्स एन्क्रिप्शन सॉफ्टवेयर उपलब्ध नहीं था। TrueCrypt वेबसाइट पर आने के किसी भी प्रयास को इस SourceForge.net वेब पेज पर रीडायरेक्ट किया गया था, जो निम्नलिखित चेतावनी प्रदर्शित करता है:
स्नोडेन दस्तावेज़ जारी होने से पहले ही, इस तरह की घोषणा से उन लोगों को झटका लगा होगा जो अपने डेटा की सुरक्षा के लिए ट्रू क्रिप्टेक पर भरोसा करते हैं। संदेहास्पद एन्क्रिप्शन प्रथाओं में जोड़ें, और झटका गंभीर कोण में बदल जाता है। साथ ही, ओपन-सोर्स एडवोकेट्स जिन्होंने ट्रू-क्रिप्ट का समर्थन किया है, अब इस तथ्य का सामना करते हैं कि ट्रू-क्रिप्ट डेवलपर्स की सिफारिश है कि हर कोई माइक्रोसॉफ्ट के स्वामित्व वाले बिटलॉकर का उपयोग करता है।
कहने की जरूरत नहीं है कि साजिश रचने वालों के पास इसके साथ एक क्षेत्र दिवस था। फैसले के पीछे कारणों के रूप में कई अलग-अलग राय हैं। सबसे पहले, डैन गुडिन और ब्रायन क्रेब्स जैसे विशेषज्ञों ने सोचा कि वेबसाइट को हैक कर लिया गया था, लेकिन कुछ जाँच के बाद दोनों ने उस धारणा को खारिज कर दिया।
दो लोकप्रिय सिद्धांत जो इस चर्चा के साथ खुद को संरेखित करते हैं:
- Microsoft ने प्रतियोगिता को खत्म करने के लिए TrueCrypt को खरीदा (BitLocker माइग्रेशन दिशा-निर्देशों ने इस सिद्धांत को हवा दी)।
- सरकार के दबाव ने ट्रू-क्रिप्ट के डेवलपर्स को वेबसाइट बंद करने के लिए मजबूर किया (जैसा कि लवाबित के साथ हुआ था)।
कोड में विश्वास की कमी आज भी जारी है। यह तथ्य कि क्रिप्टोग्राफ़र TrueCrypt (IsTrueCryptAuditedYet) की गहन समीक्षा कर रहे हैं, अनिश्चितता का एक प्रमुख उदाहरण है जो मौजूद है।
हम क्या भरोसा कर सकते हैं?
एडवर्ड स्नोडेन और ब्रूस श्नेयर दोनों ने कहा है कि संवेदनशील व्यक्तिगत और कंपनी की जानकारी से दूर रखने के लिए एन्क्रिप्शन अभी भी सबसे अच्छा समाधान है।
स्नोडेन ने, ACLU के प्रमुख प्रौद्योगिकीविद् क्रिस्टोफर सोगहियन और बेन वाइज़नर के साथ अपने SXSW साक्षात्कार के दौरान, ACLU के बारे में भी कहा, "निचला रेखा यह है कि एन्क्रिप्शन काम करता है। हमें एक रहस्यमय, डार्क आर्ट के रूप में एन्क्रिप्शन की आवश्यकता नहीं है, लेकिन बुनियादी सुरक्षा के रूप में। डिजिटल दुनिया के लिए। "
स्नोडेन ने इसके बाद एक व्यक्तिगत उदाहरण पेश किया। एनएसए यह जानने के लिए कड़ी मेहनत कर रहा है कि उसने कौन से दस्तावेज लीक किए, लेकिन उन्हें कोई पता नहीं है, सिर्फ इसलिए कि वे आपकी फ़ाइलों को डिक्रिप्ट करने में असमर्थ हैं। जब एन्क्रिप्शन की बात आती है तो ब्रूस श्नीयर भी सभी में होता है। फिर भी, श्नाइयर ने एक चेतावनी के साथ अपना समर्थन दिया।
उन्होंने कहा, "ओपन-सोर्स सॉफ्टवेयर की तुलना में एनएसए के लिए क्लोज्ड-सोर्स सॉफ्टवेयर पिछले दरवाजे के लिए आसान है। मास्टर सीक्रेट्स पर भरोसा करने वाले सिस्टम या तो कानूनी या अधिक गुप्त माध्यमों से एनएसए के लिए कमजोर होते हैं, " उन्होंने कहा।
थोड़ी सी विडंबना में, Schneier की टिप्पणी को भी TrueCrypt के बंद होने से पहले बनाया गया था, और इससे पहले कि TrueCrypt डेवलपर्स यह सुझाव देने लगे कि लोग BitLocker का उपयोग करते हैं। विडंबना: TrueCrypt खुला स्रोत है, जबकि BitLocker बंद स्रोत है।
