![]() Specializovaný týdeník o výpočetní technice |
|
![]() |
Seriál o bezpečnosti a informačním soukromí |
Část 38 - CW 1-2/98
Export kryptografieAlena Hönigová, Václav Matyáš ml.
Motto: Exportní kontrola je řízena třemi pravidly: Anonym
Masové rozšíření Internetu a potřeba řídit bezpečné elektronické obchodování s sebou přinesly potřebu větší dostupnosti kryptologie. Dodnes je ale s exportem šifrovacích produktů mnohde zacházeno jako s exportem zbraní: "silná" kryptografie často představuje významnou zbraň -- schopnost dešifrovat komunikaci může rozhodnout výsledek konfliktu. Vládní zájmy se zde soustřeďují do dvou oblastí: - mít jistotu, že používání kryptografických systémů nesníží schopnost dopadnout nežádoucí osoby a skupiny osob; - zajistit, aby používání kryptografických systémů nepůsobilo proti národním zájmům dané země. Dění v IT většinou znamená dění v USA, o kryptografii ani nemluvě. Americká vláda považuje šifrování za stejně nebezpečnou technologii jako zbraně. Často se uvádí, že si americká vláda prostě nepřeje uvolnit mimo zemi technologie, které by jí mohly ztížit sběr zpráv (vyzvědačství). Informace posílané Internetem nebo jinými otevřenými sítěmi lze velmi jednoduše filtrovat a analyzovat -- říká se leccos ohledně účasti zpravodajských služeb v aktivitách ISP. Některé IT firmy reagují tak, že úplně ze svých produktů šifrování odstraní. Nebo mají 2 verze a do zámoří prodávají tu bez šifrování. Mohou mít také 1 verzi, která není určena pro export, s dostatečnou délkou klíče, a druhou, určenou pro export, s omezenou efektivní délkou klíče. V době, kdy Lotus žádal o exportní licenci, aby se splnila exportní kritéria, musel mít 2 délky tajných klíčů: jeden, v délce 40 bitů, použitý, jakmile byl jeden z účastníků mimo USA, a druhý -- delší -- používaný pouze v USA. Ale digitální podpis nyní již obvykle bez omezení bývá vypočten s použitím dlouhého veřejného klíče odesílatele, i když jsou účastníci komunikace mimo USA, pokud -- a to je důležité -- se dlouhý klíč dá použít jen k podpisu a nikoliv k šifrování. Podpis zprávy je pak bezpečný dokonce i před protivníkem, kterému se podaří prolomit kratší klíče RSA i tajné klíče používané pro zašifrování zprávy. Exportní omezení ze strany USA stojí americké prodejce miliardy dolarů. A omezení exportu americkou vládou stále komplikuje bezpečnou mezinárodní komunikaci mnohým firmám, protože asi 60 % kryptografických produktů se vyrábí v USA (podle průzkumu firmy TIS), nemluvě o spoustě dalšího užitečného softwaru, který je dnes často kryptografií prošpikován. Někteří prodejci, aby obešli exportní omezení, vyvíjejí šifrovací algoritmy mimo USA (RSA DSI, Sun, C2 atd.). Po zajímavém precedentu soudní pře Phila Karna ve Washingtonu z ledna 1997 lze také v podstatě bez omezení vyvážet zdrojový kód (takže se třeba nová mezinárodní verze PGP 5.0 dělala tak, že se vyvezly "zdrojáky", ty se musely oskenovat, nalinkovat na neamerické podpůrné knihovny a takto zkompilovat). Jinou možnost zvýšení bezpečnosti produktů s kontrolou exportu ukazuje příklad WWW serverů a prohlížečů Netscape. Netscape je v současné době distribuován po celém světě a je předmětem kontroly exportu USA, co se týče kryptografie a délky klíče. Všechny verze Netscape mají zabudovanou podporu SSL (Secure Sockets Layer). V rohu prohlížeče (verze před 4.x) je umístěn žlutý klíček: v závislosti na verzi použitého SSL má jeden nebo dva zoubky. Verze s dvěma zoubky označuje délku klíče 128 b, s jedním pak oněch kritizovaných 40 b. Koncem roku 1995 byla zpochybňována bezpečnost exportní verze SSL s ohledem na 3 incidenty, ke kterým došlo. Při prvním incidentu se podařilo francouzskému studentu Doligezovi prolomit během 5 dnů 40b RC4 klíč relace, používaný v mezinárodně dostupné verzi Netscape. Druhý incident měl za úkol snížit tento 5denní limit: několika členům skupiny "cyberpunks" se ho podařilo snížit na 31 hodin. Vysvětlení těchto dvou incidentů bylo zřejmé: 40b klíče nejsou dosti silné. Je v těchto případech možné řešení? Pro finanční instituce lze zařídit exportní výjimku a jinak v případě prohlížeče Netscape je nově dostupný Fortify, který upravuje nedostatečnou délku klíče na 128 b a úspěšně tak obchází americká pravidla pro kontrolu exportu (viz vložený seznam URL). Další možností je použití nástavby v podobě proxy se silným šifrováním -- např. SafePassage. Export kryptografie je kontrolován ve většině vyspělých zemí. Všeobecně jsou z takové kontroly vyňata kryptografická zařízení, která umožňují pouze kontrolu integrity. Mezi země, kde není kontrola exportu aplikována, patří Belgie, Dánsko, Finsko, Maďarsko, Irsko a Španělsko. Např. z Británie můžete vyvážet kryptografická zařízení pro nekomerční účely bez omezení, ale v případě komerčních produktů podléháte pravidlům kontroly exportu. Do Kanady lze produkty z USA vyvážet bez omezení, ale z Kanady nelze jednoduše reexportovat americké produkty se silným šifrováním, kdežto obdobné kanadské produkty do zahraničí dodávat lze. Mnozí počítačoví odborníci pamatují COCOM (Co-ordinating Committee for Multilateral Export Controls) -- mezinárodní organizaci pro vzájemnou kontrolu exportu strategických produktů a technických dat z členských zemí, která měla jako jeden z cílů zabránit tomu, aby citlivé technologie -- včetně silné kryptografie -- nebyly dodávány do zemí východního bloku. Udržovala mezinárodní seznam vybraných citlivých produktů, které této exportní kontrole podléhaly. V březnu 1994 byl COCOM rozpuštěn; do doby, než bude vytvořena náhrada, bylo dohodnuto udržovat status quo. Koncem téhož roku připravila Rada Evropy podrobné exportní směrnice pro přijetí Evropskou unií, obsahující rovněž seznam zboží "dvojího užití". V tomto seznamu jsou zahrnuty i kryptografické produkty a jejich vývoz proto podléhá zvláštní autorizaci. Vybraným zemím, které nejsou členy EU, může být uděleno generální oprávnění k exportu. Jedná se o Austrálii, Kanadu, Japonsko, Norsko, Švýcarsko a USA. První diskuse o nahrazení COCOM se uskutečnila v září 1994. Kromě členů NATO a 3 nových členů EU byly přítomny také Rusko, ČR, Maďarsko, Polsko a Slovensko. Navržený nový orgán byl neformálně nazván Nové fórum, a bylo odsouhlaseno ustavit tzv. Wassenaarskou dohodu o exportních kontrolách konvenčních zbraní a zboží a technologií "dvojího užití". Nové fórum se následně sešlo ve Wassenaaru a v dubnu 1996 se uskutečnila první plenární schůze ve Vídni. Nový režim kontroly exportu má 2 větve, týkající se konvenčních zbraní a zboží dvojího užití. Díky Wassenaaru si dnes můžete stáhnout např. kanadské produkty se silným šifrováním (viz vložený seznam URL).
Co je to silná kryptografie? Jako silné šifry jsou obecně označovány takové šifry, které jsou schopny odolat všem formám kryptoanalýzy s výjimkou tzv. útoku hrubou silou, tj. útoku s vyčerpáním všech možných hodnot klíčů. Obranou proti tomuto typu útoku je výběr šifry, která má tak velký prostor pro klíče, aby se vyčerpávající prohledávání uskutečnilo v čase, který není realizovatelný, nebo jak se často říká, aby bylo výpočetně neproveditelné (angl. computationally infeasible). Obecně je za silnou kryptografii považována kvalitní symetrická šifra s délkou klíče větší než 70 b a u asymetrických šifer typu RSA pak klíče delší než 700 b. Ale např. vláda USA má tyto hranice posunuty na 56, resp. 512 b. Charakteristickým příkladem produktů silné kryptografie je posledních 20 let nejvíce studovaný šifrovací algoritmus -- DES. Jeho konstrukci i kryptanalýze a posunům hranice odolnosti jsme se věnovali v dílu 28. Metody schopné prolomit DES jsou i dnes velmi obtížné a drahé, takže DES je ve světě dále využíván; k dispozici jsou samozřejmě i verze trojitého DESu. Studie expertů Japonské národní banky a Yokohamské národní univerzity ze srpna 1996 odhadují 3-DES jako bezpečný systém do poloviny 21. století, a s přihlédnutím k dvěma speciálním útokům minimálně do roku 2020. Toto obvykle nezmiňují různé "odborné" články v našem tisku, které s cílem propagovat vlastní proprietární algortimy šíří neúplné informace o "vyřízeném" DESu.
Stav v roce 1996 K určitému uvolnění amerických exportních zákonů týkajících se amerických občanů došlo v lednu 1996: ITAR (International Traffic in Arms Regulations), který řídí používání kryptografie, povolil dočasný osobní export silné kryptografie americkým občanům cestujícím do ciziny. V říjnu 1996 americký viceprezident Gore vyhlásil novou politiku kontroly exportu šifrovacích produktů a služeb s účinností od 1. 1. 1997 -- EAR (Export Administration Regulations). Koncem roku 1996 se totiž začalo nad ITAR nebezpečně (pro vládu) mračit a 18. 12. 1996 došlo k tomu, že kalifornský soud pozastavil ITAR jako omezení odporující duchu prvního dodatku americké ústavy (o svobodě projevu). Rozhodnutí soudu platilo, ale jen pro Severní Kalifornii, jinde závazné nebylo. Zástupce žalujícího -- Daniela Bernsteina -- podal 30. 12. 1996 žalobu i na EAR, protože rozsudek ohledně neplatných ITAR je sice pěkný, ale prakticky k ničemu. Do platnosti EAR bylo u komerčních šifrovacích produktů společnostem zakázáno prodávat mimo Severní Ameriku produkty s délkou klíče větší než 40 bitů. Uvolnění kontrol potrvá 2 roky. Po této době nebude povolen export produktů, které nebudou podporovat obnovu klíčů (angl. key recovery). Obnova klíčů má nahradit americkou administrativou navržený tzv. "Clipper Chip", řešení, které předpokládalo úschovu klíče vládou. Leckteré americké firmy ale nečekají a řeší problém např. akvizicí firem v zahraničí (Sun v Rusku), jiné zase zakládáním zahraničních poboček (RSA v Japonsku).
Současná situace Evropská unie byla koncem roku pod silným tlakem USA na zavedení společných (rozuměj velmi restriktivních) opatření nejen pro export, ale i pro vnitrostátní použití šifrovacích produktů. Záměry USA našly oporu jen u Británie a tak EU tyto návrhy USA odmítla. Především Německo, Belgie, Finsko, Dánsko a Irsko stojí za názorem, že "zástěrky" jako sledování kriminálních živlů neospravedlňují vládní úředníky sledovat privátní komunikaci občanů. Rozumnému člověku je jasné, že ukrajinská mafie nezačne používat vládou předepsané slabé šifrování jen proto, že se zalekne možného trestního postihu za používání příliš silného šifrování. V první polovině září rozhodl Kongresový výbor USA, že software, který chrání soukromí, je předmětem kontroly a nesmí být dále prodáván. Schůze zpravodajského výboru Sněmovny hlasovala pro zcela přepracovaný návrh, který zabudovává do všech budoucích šifrovacích produktů "Velkého bratra". Nový návrh, nazvaný orwellovsky "Bezpečnost a svoboda pomocí šifrování" (SAFE -- Security and Freedom through Encryption), obsahuje mj. návrh: - kontrolu exportu budou provádět ministerstva obrany a obchodu; software -- bez ohledu na jeho sílu -- může být exportován pouze v případě, že obsahuje zadní vrátka s úschovou klíčů a je nejprve předložen vládě; exportní rozhodnutí nejsou předmětem soudní kontroly a "prezident může výkonným příkazem nepřihlédnout k jakémukoliv ustanovení zákona", domnívá-li se, že je ohrožena národní bezpečnost. Zatímco o měsíc dříve se v USA diskutovalo o kontrole exportu, bojuje se nyní o to, jak přísné budou domácí kontroly. A závěr týkající se kontroly exportu? Software bez ohledu na sílu šifry může být exportován pouze v případě, že obsahuje zadní vrátka úschovy klíče a je nejprve předložen vládě. Nekupte to.
Dobré a dostupné: 1. PGP -- asi nejznámější a nejpoužívanější produkt se silným šifrováním. Je dostupný zdarma pro nekomerční použití. Jeho detailnímu popisu se budeme věnovat v jednom z dalších dílů. Je třeba věnovat pozornost rozdílům mezi staršími verzemi do 2.6.3, "externími" verzemi do verze 4 a novou řadou od verze 5.0. Má velmi dobré propojení např. s Eudorou, Pegasem, ale i dalšími poštovními klienty. Nové verze bohužel podporují obnovu klíčů. Na Síti jsou dostupné jak vlastní PGP programy, tak klíče desetitisíců jednotlivců, ale i grafická rozhraní pro náročné. Mj. např. <ftp.pgp.net/pub/pgp/README.html> 2. Entrust Solo -- nejnižší z řady produktů špičkové ottawské firmy Entrust. Solo je dostupné zdarma pro nekomerční účely a na dobu 30 dnů také firmám pro ohodnocení. Umožňuje šifrování/dešifrování souborů, vytváření/verifikaci digitálního podpisu, bezpečné mazání souborů a jednoduchou správu klíčů. Je velmi dobře integrovatelné s prostředím MS Windows a aplikacemi jako MS Word. V současné době je dostupné pouze pro Windows NT/95. <www.entrust.com/solo.htm> 3. Fortify -- záplata pro opravu šifrování u SSL ve WWW prohlížečích Netscape řad 3.x a 4.x. Je zcela zdarma a také volně redistribuovatelný (s určitým omezením proti komerčnímu zneužití). Umožní použití 128b klíčů namísto běžných 40b. Bohužel neudělá nic s generováním asymetrických klíčů (KEYGEN) o délce 512 b, ani s šifrováním pro S/MIME, které u Messengeru zůstane na 40 b. <www.geocities.com/Eureka/Plaza/6333/>
| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage | |