Az elektronikus kommunikáció, az e-kereskedelem és a vállalati hálózati rendszerek terjedése rendkívül dinamikus: a interneten közel 2 milliárd honlap és 28 milliárd kép található, több tízmillió e-mail megy naponta, és becslések szerint a SWIFT (Society of Worldwide Interbank Financial Telecommunications) hálózaton a világ GDP-jének felét kitevő forgalom bonyolódik. A szavazás és az adóbevallás is egyre több helyen történik a világhálón.
Lendületes fejlődés következett be az internetes biztonsági rendszerek területén is. Az IDC kutatása szerint az ezek fő ágazatai (tűzfalak, titkosító szoftverek, biztonsági hitelesítés és engedélyezés, vírusellenőrző szoftverek) 2000-ben 25 százalékkal nőttek (ezen belül a tűzfalbiztonság 42 százalékkal). Világszerte az internet biztonság bevétele 33 százalékkal, 5,1 milliárd dollárra ugrott, 2005-re pedig várhatóan 14 milliárd dollárra növekszik.
Dilemma – titkosság vagy nemzetbiztonság?
Ahogy az információ egyre értékesebb árucikké válik, úgy játszik egyre nagyobb szerepet a mi életünkben is a titkosítás. Telefonjainkat lehallgathatják, e-mail-jeinket elérhetik illetéktelenek – a magánélet titkossága (privacy) veszélyben van.
Az üzleti élet információáramlásában még nagyobb szerepe van a biztonságnak. A védett kommunikáció a kapcsolatok létfeltétele. Az egyéni biztonság és az elektronikus üzletvitel sikerének kulcsa a titkosítás.
A szervezett bűnözés és a terrorizmus felderített titkos üzenetei• Az Aum Shinrikyo szekta az 1995-ös tokiói földalatti gáztámadáskor RSA-t használt.
• Ramsey Yousef, a World Trade Center 1993-as robbantásának kitervelőjének lakásán 1995-ben a Fülöp-szigeti hatóságok megtalálták laptopját, amelyen 11 jövőbeli repülőgép terrortámadás terveit találták titkosított formában. Ebből két anyag dekódolása több mint egy évig tartott.
• Wahid El Hage, az 1998-as amerikai nagykövetségek robbantásának egyik gyanúsítottja “Norman” és “Abdus Sabbur” álnéven titkosított üzeneteket küldött az al-Qaida csoportnak.
• Jordánia ellen szervezett terrorista támadást Khahil Deek, ám az Amerikai Nemzetbiztonsági Hivatal még időben lefoglalta számítógépét, és megfejtette a titkosító rendszert, így a támadást megakadályozták.
Míg a közösség igénye a rejtjelezés iránt növekszik, a nemzetbiztonság céljaival az merőben ellenkezik. Az elmúlt évtizedekben a rendőrség és a titkosügynökökök könnyedén lehallgatták a szervezett bőnözés embereit, a legújabb titkosító módszerek annyira erősek, hogy a mai technikai fejlettséggel feltörhetetlenek.
A titkosírás matematikájában a titkosszolgálatok – különösen az amerikai és az angol – messze előrébb járnak, mint a közcélú kutatások. A közelmúltban megjelent publikációk szerint a titkos kutatások már az 1970-es években eljutottak oda, ahová a nem titkos kutatások mára. A nyilvános kulcsú titkosírás matematikai alapja Ron Rivest, Adi Shamir és Len Adleman (RSA), az MIT kutatóinak nevéhez fűződik, akik a módszert 1977. júliusában publikálták. Érdekesség, hogy az Amerikai Nemzetbiztonsági Hivatal azzal a kéréssel fordult az MIT kutatóhármasához, hogy ne tegyék közzé a cikküket.
A dilemma feloldásához az államok a “letétkulcs” alkalmazását (key escrow) szorgalmazzák. E szerint a felhasználók saját, titkos kulcsuk egy másolatát megbízható harmadik félre bízzák, amely azt csak törvényben rögzített esetben adhatja ki. Ellenvéleményként gyakran hangzik el az a hasonlat, hogy vajon nagyobb biztonságban érezzük-e attól magunkat, ha a lakáskulcsunk egy másolatát leadjuk a rendőrségen. Addig, amíg tökéletesen biztonságos és megbízható hely nem létezik, a letétkulcs csak gyengíti a rendszert.
A titkosírás fajtái• Sztegonográfia: nem az üzenet értelmét, hanem az üzenet egészét rejti el.
• Kriptográfia: az üzenet értelmét rejti el. Két ága a transzponáló és a helyettesítő titkosítás.
• Transzponáló: az üzenet a betűk vagy szavak sorrendjének cseréjével válik “olvashatatlanná”.
• Helyettesítő: az üzenetben a betűk vagy a szavak helyükön maradnak, de kódolásuk révén olvashatatlanok. Ezen belül kétfajta rejtjelszabály létezik. Code: a szavakat vagy egy másik szó vagy karakter helyettesíti. Cipher: a szöveg értelme a szöveg minden betűjének helyettesítésével válik rejtetté.
Hol tart a titkosírás?
A titkosírás története tulajdonképpen a fontos üzenetek rejtjelezők és az ezeket megfejteni, leleplezni kívánók állandó küzdelme. Ha egy ponton a rendszer sérülékeny, akkor vagy zsákutcába jut, vagy továbbfejlesztik. Mindig van a rendszernek leggyengébb pontja, amely a feltörők célpontjává válik; így halad tovább a fejlődés a következő leggyengébb láncszem irányába.
A szimmetrikus titkosító rendszerekben ugyanaz a kulcs kódolja és dekódolja az üzenetet. A rendszer nagy hibája: elengedhetetlen, hogy – természetesen titkosan – átadják magát a kulcsot is. Az interneten ez rendszerint “megbízható” szolgáltatók által kínált “biztonságos” csatornákon (secured channel) történik.
A problémára megoldást kínált a már említett, nyilvános kulcsú titkosírás alapelvének, az RSA-nak a publikálása. Az RSA olyan aszimmetrikus rendszer, ahol a kódolás egy nyilvános kulccsal, míg a dekódolás egy titkos kulccsal történik, és a titkosírás nem gyöngül a kulcsok közzétételével. Mivel matematikai algoritmus áll a hátterében, elméletben a titkos kulcs kiszámítható, ám ez olyan nagy gépi időt vesz igénybe, hogy a rendszer gyakorlatilag feltörhetetlen.
Phil ZimmermannPhil Zimmermann a hetvenes évek közepén a Floridai Atlantic Egyetemen fizikát, majd számítástechnikát tanult. Diplomáival a kezében és a robbanás előtt álló számítástechnika kilátásait nézve úgy tűnt, szép jövő előtt áll. A nyolcvanas évek politikai eseményei azonban megváltoztatták életét: a potenciális nukleáris háború félelemmel töltötte el. Családjával Új-Zélandra szándékozott költözni (már a kezében voltak a bevándorlási papírok), ám ehelyett feleségével az utolsó pillanatban inkább csatlakozott a nukleáris háború ellenes kampányhoz, és annak vezetőjévé vált. A hidegháború enyhülésével más irányba, a digitális forradalom és az egyén személyes jogai felé terelődött politikai aktivitása.
A “bajkeverő” színre lép
Az RSA megoldotta a biztonságos üzenetküldés és a digitális aláírás kérdését, ám volt egy apró szépséghibája: nagy számítástechnikai igénye miatt csupán az állam és a nagy vállalatok tudták alkalmazni.
Phil Zimmermann azonban úgy vélte, hogy mindannyiunknak joga van az RSA titkosírás által nyújtott biztonságra, nemcsak a nagy vállalatoknak. 1991 nyarára az egykori politikai aktivista forradalmi megoldással állt elő: megalkotta a PGP-t (Pretty Good Privacy). Célja egy olyan hatékony, gazdaságos és PC-n is használható szoftver megalkotása volt, amelyhez ne kelljen mellesleg kriptográfusnak lenni.
Két, nem technikai jellegű problémával kellett szembenéznie. Az RSA védjegyes termék, tehát a szabadalmi törvény értelmében Zimmermannak licencet kellett volna vennie az RSA Data Security cégtől, mielőtt kibocsáthatta volna saját szoftverét. Ezt azonban kikerülte: ahelyett, hogy kereskedelmi céllal dobta volna piacra, egyéni felhasználásra kínálta, azt remélve, hogy nem versenytársként licenchez juthat a RSA-tól.
Titkos üzenet és digitális aláírásAlapszituáció:
két fél, Alice és Bob kommunikálni akarnak egymással úgy, hogy közben egy harmadik fél, Eve hallgatózik.
Titkos üzenet: Amikor Alice titkos üzenetet akar küldeni Bobnak, Bob nyilvános kulcsát fellapozza a telefonkönyvben, majd ezzel kódolja az üzenetet, és elküldi Bobnak. Senki más, csak Bob képes a saját titkos kulcsával dekódolni az üzenetet. Mivel Bob nyilvános kulcsa elérhető bárki számára, Eve tud úgy üzenetet küldeni, mintha Alice lenne. Ezért Alice-nek alá is kell írnia az üzenetet.
Digitális aláírás: Alice az aláírását tikos kulcsával kódolja, majd ezt is az üzenethez illesztve, az egészet együtt kódolja Bob nyilvános kulcsával. Amikor Bob megkapja az üzenetet, dekódolja azt titkos kulcsával. Az aláírást Alice nyilvános kulcsával dekódolja. Ez csak akkor adhatja Alice nevét, ha ő írta, hiszen a titkos kulccsal csak ő rendelkezik.
1991-ben Phil Zimmermann beleártotta magát egy kritikus kérdésbe: ezt a “feltörhetetlen” rendszert közzé adta és elérhetővé tette mindannyiunk számára – és ezzel pánikba kergette a biztonsági szakembereket és visszavetette a Nemzetbiztonsági Hivatal több éves, milliárd dolláros munkáját.
A másik probléma az USA szenátusának 1991-es, mindenre kiterjedő bűnözésellenes törvényjavaslata volt. A törvény a következő kitételt foglalta magába: “A Kongresszus véleménye, hogy az elektronikus kommunikációs szolgáltatást nyújtó és ilyen berendezést gyártó cégek biztosítsák, hogy az állam – ha erre jogi felhatalmazást kap – betekintést nyerhessen a hang, adat és egyéb kommunikáció szövegébe.”
Zimmermann eredetileg nagy bevételt remélt szoftvere eladásából, ám később úgy döntött, hogy szabadon felhasználhatóvá teszi. 1991 júniusában megkérte egy barátját, hogy tegye fel a Usenet hirdetőtáblájára. Futótőzként terjedt a híre, és világszerte töltötték le a PGP-t.
Ezalatt Amerikában erős kritika kereszttüzébe került. Az RSA nem adta meg a licenc jogot Zimmermann-nak, sőt beperelte szellemi termékének jogtalan felhasználásáért. 1993. februárjában a rendőrség is kérdőre fogta: a vád az előbbinél sokkal komolyabb volt: illegális fegyverexport. Mivel a titkosító szoftver az állam hadiállományának részét képezi, exportja a Külügyminisztérium engedélye nélkül törvénysértés. Zimmermann-nak illegális fegyverkivitel vádjával több éves kivizsgálást kellett elszenvednie.
