Uploaded by User4863

Crypto AG

advertisement
Krakowska Akademia im. Andrzeja Frycza Modrzewskiego
Bezpieczeństwo Narodowe – Siły i Służby Specjalne
BEZPIECZEŃSTWO INFORMACJI I OCHRONA DANYCH
Kryptografia – jeżeli nie możesz złamać szyfru to...
(Skandal Crypto AG).
Anna Wiatr
Małgorzata Dobrzańska
Janusz Kajdas
Michał Kiepura
Jakub Czmielewski
BN/SiSSp/19/1/N
Spis treści
• Kryptografia
• Zastosowanie kryptografii
• Crypto AG
• Bibliografia
2
Kryptografia - to gałąź wiedzy zajmująca się zabezpieczaniem informacji przed
niepowołanym dostępem. Jest dziedziną kryptologii, czyli wiedzy obejmującej
kryptografię oraz kryptoanalizę. Obie dziedziny różni fakt, że pierwsza zajmuje
się utajnianiem danych, natomiast druga łamaniem szyfrów. Kryptografia
zabezpiecza przesyłane wiadomości przed niepożądanym dostępem. Dzięki
niej informacje (np. wiadomości) są trudne do rozszyfrowania przez osobę,
czyli podmiot, który nie zna klucza rozszyfrowującego. Jedyna informacja, jaką
takowy podmiot otrzyma, to trudno zrozumiały ciąg znaków. Z kolei
kryptoanaliza łamie szyfry, a więc zajmuje się odczytywaniem zaszyfrowanych
danych bez wyżej wspomnianego klucza rozszyfrowującego.
3
Kryptografia jest niezbędna w przypadku zabezpieczania haseł komputerowych,
kart bankowych, w sytuacji transakcji handlowych wykonywanych przez
internet oraz znajduje zastosowanie w wojskowości oraz dyplomacji.
Na rozwój kryptografii miało wpływ wynalezienie internetu, radia czy telegrafu,
które prędko stały się obiektem ataków.
Niestety celów ataków hakerskich wciąż przybywa. Efektem są m.in. duże straty
majątkowe, a w najbardziej drastycznych przypadkach, nawet zagrożenie
zdrowia czy życia ludzkiego. Z tego względu odpowiednie zabezpieczenia są
niezbędne, aby zapewnić należyte bezpieczeństwo ludziom. Niestety mimo
zabezpieczeń często dochodzi do ataku hakerów, którzy dysponują zarówno
bardzo dużą wiedzą, jak i profesjonalnym sprzętem.
4
Celem zwiększenia bezpieczeństwa stosuje się m.in. identyfikację,
uwierzytelnienie oraz autoryzację. Identyfikacja to proces, który polega na
potwierdzeniu tożsamości na podstawie loginu i hasła. Drugi rodzaj
zabezpieczenia również polega na weryfikacji tożsamości za pomocą hasła lub
podpisu cyfrowego, natomiast autoryzacja to potwierdzenie, czy podmiot jest
uprawniony do uzyskania dostępu do danego zasobu. Jednym ze
skuteczniejszych rozwiązań jest podwójne uwierzytelnienie 2FA, które polega
na zastosowaniu loginu i hasła oraz dodatkowej metody potwierdzenia
tożsamości.
5
Crypto AG – powstanie firmy datuje się na rok 1920, wtedy jeszcze pod nazwą AB Cryptoteknik, założona w
Sztokholmie, zajęła się produkcją maszyn szyfrujących. W roku 1952 firma przeniosła się do Szwajcarii ze
względów podatkowych i zmieniła nazwę na Crypto AG. Produkując najpierw urządzenia mechaniczne a
potem elektroniczne, szwajcarska spółka nie tylko zarobiła miliony dolarów, ale stała się głównym dostawcą
sprzętu szyfrującego do 120 krajów, m.in. Iranu, Watykanu, ale także Polski(w późniejszych latach).
Klienci Crypto AG (zarówno sojusznicy jak i przeciwnicy USA) nie wiedzieli, to że choć spółkę założył Boris
Hagelin, była ona od lat 60-tych ściśle kontrolowana przez oficerów amerykańskiego wywiadu. Dziennikarze
wskazują na CIA, ale sporo śladów prowadzi też do NSA. Ciężko sobie zresztą wyobrazić brak udziału tej
agencji w takim projekcie. Poza Amerykanami, do informacji przechwytywanych przez sprzęt Crypto AG od lat
70-tych dostęp miały też niemieckie służby (RFN). W czerwcu 1970r. firma została w sekrecie wykupiona przez
agencje wywiadowcze - CIA i Niemieckie BND.
Krótko po tym fakcie wystartowała operacja Tezaurus, potem nazwa została zmieniona na Rubikon.
Wywiady działały wykorzystując ukryte luki w zabezpieczeniach w algorytmach narzędzi, dzięki temu wywiad
amerykański i niemiecki uzyskuje dostęp do informacji dyplomatów (poufny tekst wymieniany w
zaszyfrowanej formie między misją dyplomatyczną, taką jak ambasada lub konsulat, a Ministerstwem Spraw
Zagranicznych, reprezentowanego przez nią kraju) i inne komunikaty, zarówno od „przeciwników”, jak i od
niektórych sojuszników.
6
Operacja Rubikon
7
CIA i BND nie tylko zarobiły miliony dolarów na sprzedaży tych urządzeń
(CX-52), ale dzięki podrobieniu kodów szyfrujących(backdoor) mogły od
tamtej pory swobodnie włamywać się i odbierać korespondencję wszystkich
krajów, które korzystały z maszyn szyfrujących.
Według dziennikarzy, szpiedzy amerykańscy i niemieccy podsłuchiwali rząd
argentyński w czasie konfliktu o Falklandy pomiędzy Argentyną i Wielką
Brytanią. Mieli monitorować również irańskich mułłów podczas rewolucji
islamskiej w tym kraju w 1979 roku. Śledzili kampanie zabójstw
południowoamerykańskich dyktatorów, przyłapał libijskich urzędników
gratulujących sobie zbombardowania berlińskiej dyskoteki w 1986 r.
8
Przy tak długim okresie podsłuchiwania wielu krajów nie jest trudno o wpadki. W
latach 70-tych zostały ujawnione dokumenty pokazujące komunikację pomiędzy NSA i
założycielami Crypto AG. Firmie nie pomogły też wypowiedzi prezydenta Regana,
który publicznie powołał się na “twarde dowody, że Libia komunikowała się w sprawie
zamachu bombowego w Berlinie ze swoją ambasadą we Wschodnim Berlinie” — dla
Libijczyków był to znak, ze ich zaszyfrowana komunikacja jest czytana przez USA.
Podejrzeń zaczęli nabierać też inżynierowie Crypto AG, którym kierownicy nakazali
implementacje algorytmów pochodzących spoza spółki i jednocześnie — kiedy
inżynierowie zauważali w nich błędy — blokowano im możliwość ich poprawienia.
Wyszło to na jaw, bo USA straciło możliwość podsłuchiwania Syrii. Od tego momentu
służby starały się swoim backdoorom nadawać formę bugdoorów. Gdyby wyszły na
9
jaw, można byłoby je wytłumaczyć pomyłką programistyczną.
Na początku lat 90-tych niemiecki wywiad postanowił wycofać się ze
współpracy z Amerykanami. Ryzyko ujawnienia tego, co robi Crypto AG i
skandalu jaki może to wywołać ocenili jako zbyt wysokie do zaakceptowania.
W latach 2000 firmą Crypto AG miały zarządzać wyłącznie amerykańskie służby,
które zdecydowały się na jej sprzedaż.
W 2018r. Crypto AG kupiły firmy CyOne Security oraz Crypto International,
które twierdziły że nie utrzymują kontaktów z służbami żadnego kraju.
10
Po opublikowaniu śledztwa przez dziennikarzy, rząd szwajcarski wszczął
własne dochodzenie w sprawie spółki Crypto AG. Szef firmy zaprzeczył, by
cokolwiek wiedział na temat wykorzystania jej urządzeń przez CIA i BND. Z
kolei Bobby Ray Inman, który pełnił funkcję dyrektora NSA i zastępcy
dyrektora CIA na przełomie lat 70. i 80. powiedział, że nie żałuje korzystania z
podsłuchów. – „Czy mam wyrzuty sumienia? Zero. Było to bardzo cenne
źródło komunikacji w znacznie dużych częściach świata, ważne dla
amerykańskich decydentów”.
11
„Triumf dwudziestowiecznego szpiegostwa, zadziwiający, że „obce rządy płacą dużo
pieniędzy Stanom Zjednoczonym i przywilej odczytu ich najbardziej tajnych
komunikatów przez co najmniej dwa (a być może nawet pięć lub sześć) obcych krajów. "
Linia ta nawiązywała do wymiany danych wywiadowczych uzyskanych z urządzeń
sprzedawanych sojusznikom (w tym Wielkiej Brytanii) przez Crypto.
Historia CIA wskazuje, że władze szwajcarskie wiedziały o operacji, ale nie były
bezpośrednio zaangażowane w operację. Szwajcarski raport potwierdza pewne aspekty
tej tajnej opowieści, ale idzie dalej, opisując rzekomy współudział Szwajcarii. Powołując
się na szwajcarskie dokumenty wywiadowcze, raport twierdzi, że szwajcarskie służby
wywiadowcze wiedziały w 1993 r., że Crypto „należał do zagranicznych służb
wywiadowczych i eksportował„ wrażliwe ”urządzenia.
Raport dalej sugeruje, że szwajcarska agencja szpiegowska, Służba Wywiadu
Strategicznego (SIS), zawarła formalną umowę z CIA, która zapewniła dostęp do
komunikacji z innych krajów.”
12
• https://www.venafi.com/blog/crypto-ag-revelations-who-can-youtrust-manage-your-encryption-backdoor
• https://www.washingtonpost.com/graphics/2020/world/nationalsecurity/cia-crypto-encryption-machines-espionage
• https://www.wikipedia.pl
13
DZIĘKUJĘ ZA UWAGĘ
14
Download