Krakowska Akademia im. Andrzeja Frycza Modrzewskiego Bezpieczeństwo Narodowe – Siły i Służby Specjalne BEZPIECZEŃSTWO INFORMACJI I OCHRONA DANYCH Kryptografia – jeżeli nie możesz złamać szyfru to... (Skandal Crypto AG). Anna Wiatr Małgorzata Dobrzańska Janusz Kajdas Michał Kiepura Jakub Czmielewski BN/SiSSp/19/1/N Spis treści • Kryptografia • Zastosowanie kryptografii • Crypto AG • Bibliografia 2 Kryptografia - to gałąź wiedzy zajmująca się zabezpieczaniem informacji przed niepowołanym dostępem. Jest dziedziną kryptologii, czyli wiedzy obejmującej kryptografię oraz kryptoanalizę. Obie dziedziny różni fakt, że pierwsza zajmuje się utajnianiem danych, natomiast druga łamaniem szyfrów. Kryptografia zabezpiecza przesyłane wiadomości przed niepożądanym dostępem. Dzięki niej informacje (np. wiadomości) są trudne do rozszyfrowania przez osobę, czyli podmiot, który nie zna klucza rozszyfrowującego. Jedyna informacja, jaką takowy podmiot otrzyma, to trudno zrozumiały ciąg znaków. Z kolei kryptoanaliza łamie szyfry, a więc zajmuje się odczytywaniem zaszyfrowanych danych bez wyżej wspomnianego klucza rozszyfrowującego. 3 Kryptografia jest niezbędna w przypadku zabezpieczania haseł komputerowych, kart bankowych, w sytuacji transakcji handlowych wykonywanych przez internet oraz znajduje zastosowanie w wojskowości oraz dyplomacji. Na rozwój kryptografii miało wpływ wynalezienie internetu, radia czy telegrafu, które prędko stały się obiektem ataków. Niestety celów ataków hakerskich wciąż przybywa. Efektem są m.in. duże straty majątkowe, a w najbardziej drastycznych przypadkach, nawet zagrożenie zdrowia czy życia ludzkiego. Z tego względu odpowiednie zabezpieczenia są niezbędne, aby zapewnić należyte bezpieczeństwo ludziom. Niestety mimo zabezpieczeń często dochodzi do ataku hakerów, którzy dysponują zarówno bardzo dużą wiedzą, jak i profesjonalnym sprzętem. 4 Celem zwiększenia bezpieczeństwa stosuje się m.in. identyfikację, uwierzytelnienie oraz autoryzację. Identyfikacja to proces, który polega na potwierdzeniu tożsamości na podstawie loginu i hasła. Drugi rodzaj zabezpieczenia również polega na weryfikacji tożsamości za pomocą hasła lub podpisu cyfrowego, natomiast autoryzacja to potwierdzenie, czy podmiot jest uprawniony do uzyskania dostępu do danego zasobu. Jednym ze skuteczniejszych rozwiązań jest podwójne uwierzytelnienie 2FA, które polega na zastosowaniu loginu i hasła oraz dodatkowej metody potwierdzenia tożsamości. 5 Crypto AG – powstanie firmy datuje się na rok 1920, wtedy jeszcze pod nazwą AB Cryptoteknik, założona w Sztokholmie, zajęła się produkcją maszyn szyfrujących. W roku 1952 firma przeniosła się do Szwajcarii ze względów podatkowych i zmieniła nazwę na Crypto AG. Produkując najpierw urządzenia mechaniczne a potem elektroniczne, szwajcarska spółka nie tylko zarobiła miliony dolarów, ale stała się głównym dostawcą sprzętu szyfrującego do 120 krajów, m.in. Iranu, Watykanu, ale także Polski(w późniejszych latach). Klienci Crypto AG (zarówno sojusznicy jak i przeciwnicy USA) nie wiedzieli, to że choć spółkę założył Boris Hagelin, była ona od lat 60-tych ściśle kontrolowana przez oficerów amerykańskiego wywiadu. Dziennikarze wskazują na CIA, ale sporo śladów prowadzi też do NSA. Ciężko sobie zresztą wyobrazić brak udziału tej agencji w takim projekcie. Poza Amerykanami, do informacji przechwytywanych przez sprzęt Crypto AG od lat 70-tych dostęp miały też niemieckie służby (RFN). W czerwcu 1970r. firma została w sekrecie wykupiona przez agencje wywiadowcze - CIA i Niemieckie BND. Krótko po tym fakcie wystartowała operacja Tezaurus, potem nazwa została zmieniona na Rubikon. Wywiady działały wykorzystując ukryte luki w zabezpieczeniach w algorytmach narzędzi, dzięki temu wywiad amerykański i niemiecki uzyskuje dostęp do informacji dyplomatów (poufny tekst wymieniany w zaszyfrowanej formie między misją dyplomatyczną, taką jak ambasada lub konsulat, a Ministerstwem Spraw Zagranicznych, reprezentowanego przez nią kraju) i inne komunikaty, zarówno od „przeciwników”, jak i od niektórych sojuszników. 6 Operacja Rubikon 7 CIA i BND nie tylko zarobiły miliony dolarów na sprzedaży tych urządzeń (CX-52), ale dzięki podrobieniu kodów szyfrujących(backdoor) mogły od tamtej pory swobodnie włamywać się i odbierać korespondencję wszystkich krajów, które korzystały z maszyn szyfrujących. Według dziennikarzy, szpiedzy amerykańscy i niemieccy podsłuchiwali rząd argentyński w czasie konfliktu o Falklandy pomiędzy Argentyną i Wielką Brytanią. Mieli monitorować również irańskich mułłów podczas rewolucji islamskiej w tym kraju w 1979 roku. Śledzili kampanie zabójstw południowoamerykańskich dyktatorów, przyłapał libijskich urzędników gratulujących sobie zbombardowania berlińskiej dyskoteki w 1986 r. 8 Przy tak długim okresie podsłuchiwania wielu krajów nie jest trudno o wpadki. W latach 70-tych zostały ujawnione dokumenty pokazujące komunikację pomiędzy NSA i założycielami Crypto AG. Firmie nie pomogły też wypowiedzi prezydenta Regana, który publicznie powołał się na “twarde dowody, że Libia komunikowała się w sprawie zamachu bombowego w Berlinie ze swoją ambasadą we Wschodnim Berlinie” — dla Libijczyków był to znak, ze ich zaszyfrowana komunikacja jest czytana przez USA. Podejrzeń zaczęli nabierać też inżynierowie Crypto AG, którym kierownicy nakazali implementacje algorytmów pochodzących spoza spółki i jednocześnie — kiedy inżynierowie zauważali w nich błędy — blokowano im możliwość ich poprawienia. Wyszło to na jaw, bo USA straciło możliwość podsłuchiwania Syrii. Od tego momentu służby starały się swoim backdoorom nadawać formę bugdoorów. Gdyby wyszły na 9 jaw, można byłoby je wytłumaczyć pomyłką programistyczną. Na początku lat 90-tych niemiecki wywiad postanowił wycofać się ze współpracy z Amerykanami. Ryzyko ujawnienia tego, co robi Crypto AG i skandalu jaki może to wywołać ocenili jako zbyt wysokie do zaakceptowania. W latach 2000 firmą Crypto AG miały zarządzać wyłącznie amerykańskie służby, które zdecydowały się na jej sprzedaż. W 2018r. Crypto AG kupiły firmy CyOne Security oraz Crypto International, które twierdziły że nie utrzymują kontaktów z służbami żadnego kraju. 10 Po opublikowaniu śledztwa przez dziennikarzy, rząd szwajcarski wszczął własne dochodzenie w sprawie spółki Crypto AG. Szef firmy zaprzeczył, by cokolwiek wiedział na temat wykorzystania jej urządzeń przez CIA i BND. Z kolei Bobby Ray Inman, który pełnił funkcję dyrektora NSA i zastępcy dyrektora CIA na przełomie lat 70. i 80. powiedział, że nie żałuje korzystania z podsłuchów. – „Czy mam wyrzuty sumienia? Zero. Było to bardzo cenne źródło komunikacji w znacznie dużych częściach świata, ważne dla amerykańskich decydentów”. 11 „Triumf dwudziestowiecznego szpiegostwa, zadziwiający, że „obce rządy płacą dużo pieniędzy Stanom Zjednoczonym i przywilej odczytu ich najbardziej tajnych komunikatów przez co najmniej dwa (a być może nawet pięć lub sześć) obcych krajów. " Linia ta nawiązywała do wymiany danych wywiadowczych uzyskanych z urządzeń sprzedawanych sojusznikom (w tym Wielkiej Brytanii) przez Crypto. Historia CIA wskazuje, że władze szwajcarskie wiedziały o operacji, ale nie były bezpośrednio zaangażowane w operację. Szwajcarski raport potwierdza pewne aspekty tej tajnej opowieści, ale idzie dalej, opisując rzekomy współudział Szwajcarii. Powołując się na szwajcarskie dokumenty wywiadowcze, raport twierdzi, że szwajcarskie służby wywiadowcze wiedziały w 1993 r., że Crypto „należał do zagranicznych służb wywiadowczych i eksportował„ wrażliwe ”urządzenia. Raport dalej sugeruje, że szwajcarska agencja szpiegowska, Służba Wywiadu Strategicznego (SIS), zawarła formalną umowę z CIA, która zapewniła dostęp do komunikacji z innych krajów.” 12 • https://www.venafi.com/blog/crypto-ag-revelations-who-can-youtrust-manage-your-encryption-backdoor • https://www.washingtonpost.com/graphics/2020/world/nationalsecurity/cia-crypto-encryption-machines-espionage • https://www.wikipedia.pl 13 DZIĘKUJĘ ZA UWAGĘ 14