Autor: Domen Savič, aktivista za internet slobode iz Slovenije. Više informacija na: http://www.e-demokracija.si/cryptoparty/
Izvor: http://www.e-demokracija.si/cryptoparty/2015/08/16/nas-komentar-osnutka-…
Vlada Slovenije je objavila Nacrt nacionalne strategije za kriptografiju, time počevši razvoj sveobuhvatne nacionalne kriptografske strategije. Kriptografija je privukla dosta pažnje u prethodnih nekoliko godina u svetu, ali i u Sloveniji, najverovatnije zbog dešavanja u vezi sa Snoudenovim otkrićima. Takođe, u Sloveniji smo nedavno imali špijunski debakl sa Hrvatskom, koji je ponovo stavio kriptografiju komunikacije u žižu javnosti.
Pitanje nacionalne kripto-bezbednosti je nepoznato u Sloveniji i niko se time ranije nije bavio.
Stoga je i očekivan nejasan i nedovršen Nacrt nacionalne strategije za kriptografiju. Ali, prema mom mišljenju, ovaj nacrt sadrži neke veoma problematične odredbe i tvrdnje koje ne prolaze kritičko razmatranje. Primena aktivnosti iz nacrta ovog dokumenta ne bi rešila pretnje po kriptografiju koje danas postoje.
Dokument sadrži veoma diskutabilnu tvrdnju u šestom članu uvodnih odredbi. U njemu se navodi da „prema našem profesionalnom mišljenju, softverska i hardverska rešenja koja se koriste za obezbeđivanje i kriptovanje naših podataka i komunikacionih kanala ne bi trebalo kupovati u inostranstvu. Korišćenjem inostranih proizvoda za enkripciju otkrivamo svoja enkripciona rešenja i postajemo ranjivi jer svi postaju upoznati sa našim alatima. U ovoj strategiji se navodi da treba da razvijemo sopstvena rešenja za enkripciju radi zaštite strogo poverljivih i drugih podataka.“
Brus Šnajer, jedan od najvećih svetskih stručnjaka za sigurne komunikacije i kriptografiju, u eseju „Kriptografija: zašto je značajno ne razlikovati se“ iz 1999. upozorava na opasnosti razvijanja sopstvenog softvera za enkripciju. On objašnjava da „u kriptografiji postoji sigurnost u praćenju gomile. Algoritam domaće proizvodnje nikako ne može biti podvrgnut stotinama i hiljadama sati kriptoanalize koju vrše DES ili RSA. Jedna kompanija, ili čak udruženje neke industrije, ne može da mobiliše resurse koji se na primer koriste protiv Kerberos protokola za autentifikaciju. Niko ne može da kopira poverenje koje nudi PGP, posle mnogo godina proveravanja koda, red po red, tražeći greške u implementaciji.“ Javnost u svetu je svesna ove činjenice. Nemačke državne službe su ove godine prešle na PGP mejl enkripciju i Fejsbuk je takođe počeo da enkriptuje poruke koje šalje na mejl adrese korisnika.
Nacrt nacionalne strategije kriptobezbednosti sadrži predloge da se osnuje vladino telo i edukuju dva kripto-stručnjaka, ali ne govori ništa o edukaciji, treningu korisnika i širenju znanja o tome kako da učinite vaše komunikacione kanale i podatke bezbednim. Kakve koristi ćemo imati od dvojice obučenih profesionalaca ako će korisnici i dalje živeti u neznanju? Dalje, opšti dogovor u kripto zajednici jeste da je jedini zaista siguran način za kriptovanje komunikacija korišćenje end-to-end enkripcije, odnosno enkripcija komunikacije na obe strane. Zato ne vidim smisao u razvijanju sopstvenih sistema enkripcije koji bi najverovatnije bili zatvorenog koda, umesto korišćenja open-source sistema koje su nezavisni stručnjaci već više puta testirali (RedPhone, TextSecure, Silent Circle).
Čitajući Nacrt nacionalne strategije kriptobezbednosti, ne možemo da se oslobodimo utiska da su se autori vodili isključivo potencijalnim ekonomskim koristima razvoja i prodaje domaćeg kripto hardvera i softvera, a da su pritom potpuno ignorisali stvarne mere prevencije nacionalne kriptozaštite i nadzora.
Nacionalna kripto strategija bi prema mom mišljenju trebalo da bude usmerena na dva glavna cilja – podizanje svesti o značaju primene enkripcionih procedura upotrebom proverenih, open-source tehnologija koje se koriste širom sveta i konstantnu edukaciju i testiranje znanja za korisnike enkripcionih tehnologija.
Fokusiranje na podizanje svesti i edukaciju i povećalo broj korisnika softvera za enkripciju, koji bi na taj način štitili njihove podatke i kanale komunikacije. Usmeravanjem samo na razvoj i marketinške ciljeve, kako je navedeno u nacrtu, uzrokujemo trostruku štetu – stvaramo nepotrebne bezbednosne rizike, ograničavamo korisnost ovih alata jer nema nikoga da ih propagira i na kraju, pošto se ne fokusiramo na edukaciju, postoji rizik da se ove tehnologije uopšte ne koriste.