Гүйцэтгэгч асан Эдвард Сноудены илчилсэн маш нууц баримт бичгүүдийн дагуу АНУ, Их Британийн тагнуулын агентлагууд хувийн мэдээлэл, онлайн гүйлгээ, цахим шуудангийн нууцлалыг хамгаалахын тулд олон зуун сая хүмүүсийн онлайн шифрлэлтийн ихэнх хэсгийг амжилттай задалж чадсан байна.
Уг файлууд нь Үндэсний аюулгүй байдлын агентлаг болон Их Британийн түнш GCHQ нь интернет компаниудын харилцаа холбоо, онлайн банк, эмнэлгийн бүртгэлийг гэмт хэрэгтэн эсвэл засгийн газруудад тайлагдашгүй байх болно гэдгийг баталгаажуулахын тулд хэрэглэгчдэд өгсөн баталгааг бүхэлд нь эвдсэн болохыг харуулж байна.
Баримт бичгүүдээс харахад агентлагууд интернетийн траффикийн асар том хэсэгт нэвтрэх чадварт хамгийн том аюул заналхийллийн нэг болох "Интернэт даяар хаа сайгүй байдаг шифрлэлтийг ашиглах" гэж үзэж байгаа зүйлээ системтэй бөгөөд тасралтгүй дайрахдаа олон арга хэрэглэжээ. .
Эдгээр аргууд нь олон улсын шифрлэлтийн стандартыг тогтооход NSA-ын хяналтыг хангах далд арга хэмжээ, "харгис хүчээр" шифрлэлтийг эвдэх супер компьютер ашиглах, технологийн компаниуд болон интернетийн үйлчилгээ үзүүлэгч нартай хамтран ажиллах зэрэг юм.
Эдгээр нууц түншлэлээр дамжуулан агентлагууд арилжааны шифрлэлтийн програм хангамжид арын хаалга эсвэл урхи гэж нэрлэгддэг нууц сул талуудыг оруулсан.
NSA болон GCHQ хоёрын аль алиных нь файлуудыг Guardian олж авсан бөгөөд дэлгэрэнгүй мэдээлэл хийгдэж байна New York Times болон ProPublica-тай хамтран өнөөдөр хэвлэв. Тэд илчилдэг:
-
Шифрлэлтийн технологийн эсрэг NSA-ийн 10 жилийн хөтөлбөр нь 2010 онд нээлт хийж, интернетийн кабелийн сувгаар цуглуулсан "асар их хэмжээний" өгөгдлийг шинээр "ашиглах" боломжтой болгосон.
-
NSA нь технологийн компаниудтай хамтран тэдний бүтээгдэхүүний загварт "далдаар нөлөөлөх" зорилготой хөтөлбөрт жилд 250 сая доллар зарцуулдаг.
-
Шифрлэлтийн эсрэг тэдний чадварын нууцлалыг сайтар хамгаалж, шинжээчид "Эх сурвалж, аргын талаар бүү асуу, таамаглаж болохгүй" гэж анхааруулжээ.
-
NSA-аас хүчтэй шифрийг тайлах хөтөлбөрийг "АНУ кибер орон зайд хязгаарлалтгүй нэвтрэх, ашиглахад зориулсан элсэлтийн үнэ" гэж тодорхойлдог.
-
GCHQ-ийн баг Hotmail, Google, Yahoo, Facebook гэх мэт "дөрвөн том" үйлчилгээ үзүүлэгчийн шифрлэгдсэн урсгалыг бий болгохоор ажиллаж байна.
Тус агентлагууд шифрлэлтийг ялан дийлэх чадвар нь терроризмтой тэмцэх, гадаад тагнуулын мэдээлэл цуглуулах үндсэн үүрэгт нь чухал гэж үзэж байна.
Гэвч аюулгүй байдлын мэргэжилтнүүд тэднийг интернет болон бүх хэрэглэгчдийн хувийн нууцад халдсан гэж буруутгажээ. Харвардын Беркманы Интернет ба Нийгэмлэгийн төвийн шифрлэлтийн мэргэжилтэн Брюс Шнайер "Криптограф нь онлайн итгэлцлийн үндэс болдог" гэж хэлэв. "ҮАБЗ чагнах зорилгоор богино хугацааны оролдлого хийж онлайн аюулгүй байдлыг зориудаар алдагдуулж, интернетийн бүтцийг сүйтгэж байна." Агентлагуудын хооронд зохион байгуулдаг нууц мэдээлэл нь "сүлжээний аюулгүй байдал, нууцлалыг алдагдуулсан" амжилтаа тэмдэглэдэг.
2010 оны GCHQ баримт бичигт "Сүүлийн арван жилийн хугацаанд NSA нь интернетийн шифрлэлтийн өргөн хэрэглэгддэг технологийг эвдэх түрэмгий, олон талт хүчин чармайлтыг удирдаж ирсэн" гэж дурджээ. "Өнөөг хүртэл хаягдаж байсан асар их хэмжээний шифрлэгдсэн интернет өгөгдлийг ашиглах боломжтой болсон."
Дотоодын агентлагийн тэмдэглэлд Британийн шинжээчдийн дунд NSA-ийн ахиц дэвшлийн талаар танилцуулга үзүүлсэн гэж тэмдэглэжээ: "Аль хэдийнэ мэдээлэл өгөөгүй хүмүүс залхуу байсан!"
Баримт бичгүүдэд нэг бүрчлэн тайлбарлаагүй нээлт нь интернет компанийн удирдлагууд эдгээр мэдээлэл байна гэсэн баталгааг үл харгалзан тагнуулын байгууллагууд дэлхийн шилэн кабелиар дамжин урсаж буй "их хэмжээний" өгөгдлийг хянаж, шифрлэлтийг эвдэж чадсан гэсэн үг юм. засгийн газрын хүртээмжгүй.
NSA-ийн шифрлэлтийн эсрэг тэмцлийн гол бүрэлдэхүүн хэсэг болох технологийн компаниудтай хамтран ажиллах тухай АНУ-ын тагнуулын байгууллагын 2013 оны төсвийн төсөлд маш нууцлагдмал байдлаар "Sigint [тагнуулын дохиог] идэвхжүүлэх" гэсэн гарчигтайгаар дэлгэрэнгүй тайлбарласан болно.
Энэ жилийн 254.9 сая ам.долларын санхүүжилт нь жилийн 20 сая долларын өртөгтэй Призм хөтөлбөрийн санхүүжилтээс доогуур байна гэж NSA-ын өмнөх баримт бичгүүдэд дурджээ. 2011 оноос хойш Sigint-ийг идэвхжүүлэхэд зарцуулсан нийт зардал 800 сая доллараас давжээ. Энэхүү хөтөлбөр нь "АНУ болон гадаадын мэдээллийн технологийн салбаруудыг өөрсдийн арилжааны бүтээгдэхүүний загварт далд нөлөөлөх ба/эсвэл илт хөшүүрэг болгох зорилгоор идэвхтэй оролцуулдаг" гэж баримт бичигт дурджээ. Ийм түншлэлд оролцсон компаниудын аль нь ч нэргүй; Эдгээр нарийн ширийн зүйлийг илүү өндөр түвшний ангиллаар хамгаалдаг.
Бусад зүйлсийн дотор уг програм нь "арилжааны шифрлэлтийн системд эмзэг байдлыг оруулах" зорилготой юм. Эдгээр нь NSA-д мэдэгдэх боловч баримт бичигт "сөргөлдөөгчид" гэж дурьдагдсан жирийн үйлчлүүлэгчид гэх мэт өөр хэн ч мэдэхгүй.
"Эдгээр дизайны өөрчлөлтүүд нь тухайн системүүдийг Sigint цуглуулгаар ашиглах боломжтой болгож байна ... өөрчлөлтийг урьдчилан мэдэж байгаа. Гэсэн хэдий ч хэрэглэгч болон бусад өрсөлдөгчдийн хувьд системийн аюулгүй байдал хэвээр байна."
Энэхүү баримт бичигт дэлхийн зах зээлийг "хэлбэржүүлэх" замаар арилжааны шифрлэлтийн программ хангамжийг NSA халдлагад "илүү тэсвэртэй" болгох, дараагийн үеийн 4G утасны шифрлэлтийг эвдэх хүчин чармайлтыг үргэлжлүүлэх зэрэг хөтөлбөрийн өргөн хүрээний зорилгыг тодорхой тусгасан болно.
2013 оны тодорхой амжилтуудын дунд NSA хөтөлбөр нь "холбооны томоохон үйлчилгээ үзүүлэгчийн төвөөр дамждаг өгөгдөл" болон "интернетийн үе тэнгийн дуу хоолой, текст харилцааны томоохон систем"-д нэвтрэх боломжийг олгоно гэж найдаж байна.
Технологийн компаниуд зөвхөн хууль ёсны дагуу албадлагын дагуу тагнуулын байгууллагатай хамтран ажилладаг гэж үздэг. The Guardian өмнө нь мэдээлж байсан Microsoft нь Outlook.com цахим шуудан болон чат үйлчилгээний шифрлэлтийг тойрон гарахын тулд NSA-тай хамтран ажилласан. Компани нь бүтээгдэхүүнийхээ загварыг гаргахдаа "одоо байгаа эсвэл ирээдүйд тавигдах хууль ёсны шаардлага"-ыг дагаж мөрдөх үүрэгтэй гэж шаардав.
Баримт бичгүүд нь агентлаг нь төсвийн хүсэлтэд тусгагдсан өөр нэг зорилгод аль хэдийн хүрсэн болохыг харуулж байна: шифрлэлтийн системүүд тулгуурласан олон улсын стандартад нөлөөлөх.
Аюулгүй байдлын бие даасан мэргэжилтнүүд NSA аюулгүй байдлын стандартын сул талуудыг нэвтрүүлж байна гэж эртнээс сэжиглэж байсан нь өөр нууц баримт бичигт анх удаа батлагдсан баримт юм. Энэ нь тус агентлаг 2006 онд дэлхий даяар хэрэглэхээр батлагдсан АНУ-ын Үндэсний Стандарт, Технологийн Хүрээлэнгээс гаргасан аюулгүй байдлын стандартын төслийн өөрийн хувилбарыг авахын тулд нууцаар ажиллаж байсныг харуулж байна.
"Эцэст нь NSA цорын ганц редактор болсон" гэж баримт бичигт дурджээ.
NSA-ийн шифрийг тайлах программын код үг болох Bullrun нь Америкийн иргэний дайны томоохон тулаанаас авсан болно. Түүний Британийн түнш Эджхилл нь 200 гаруй жилийн өмнөх Английн иргэний дайны анхны томоохон оролцооны нэрээр нэрлэгдсэн юм.
Bullrun дээрх NSA-ийн ажилчид болон гэрээт гүйцэтгэгчдэд зориулсан ангиллын гарын авлага нь зорилгоо ерөнхийд нь тодорхойлсон.
"Project Bullrun нь NSA-ийн тодорхой сүлжээний холбооны технологид ашигладаг шифрлэлтийг даван туулах чадварыг авч үздэг. Bullrun нь маш мэдрэмтгий олон эх сурвалжийг хамардаг." Энэхүү баримт бичигт тус агентлаг нь онлайн худалдаа, банкинг хамгаалахад ашигладаг HTTPS, дуу хоолой-ор-IP, Secure Sockets Layer (SSL) зэрэг өргөн хэрэглэгддэг онлайн протоколуудтай тэмцэх чадвартай болохыг харуулж байна.
Технологийн компаниуд аюулгүй байдлын бүтээгдэхүүнээ үнэлж, засгийн газрын ирээдүйн худалдан авагчдад танилцуулдаг байгууллага болох NSA-ийн Арилжааны шийдлийн төв нь өөр нэг нууц үүрэг гүйцэтгэдэг болохыг баримт бичиг харуулж байна.
Үүнийг NSA аюулгүй байдлын бүтээгдэхүүнүүдэд эмзэг байдлыг оруулах зорилгоор "салбарын тодорхой түншүүдтэй эмзэг, хамтран ажиллах харилцааг бий болгох" зорилгоор ашигладаг. Энэ мэдээллийг "хамгийн багадаа" маш их нууцлах ёстойг шуурхай ажилтнуудад анхааруулсан.
NSA-ийн ангиллын илүү ерөнхий гарын авлага нь тус агентлагийн аж үйлдвэртэй гүнзгий түншлэл, бүтээгдэхүүнээ өөрчлөх чадварын талаар илүү дэлгэрэнгүй мэдээлэл өгдөг. Энэ нь NSA арилжааны шифрлэлтийн программ хангамж болон төхөөрөмжүүдэд "ашиглах боломжтой болгохын тулд" өөрчлөлт хийдэг, мөн NSA нь "салбарын харилцаагаар арилжааны криптограф мэдээллийн аюулгүй байдлын системийн криптографийн дэлгэрэнгүй мэдээллийг олж авдаг" гэсэн хоёр баримт маш нууц хэвээр байх ёстойг шинжээчдэд анхааруулж байна.
Агентлагууд шифрлэлтийн бүх технологийг хараахан эвдэж амжаагүй байгаа ч баримт бичигт дурдсан байна. Сноуден 6-р сард Guardian-ын уншигчидтай хийсэн шууд асуулт хариултын үеэр үүнийг нотолсон бололтой. "Шифрлэлт ажилладаг. Зөв хэрэгжүүлсэн хүчтэй крипто систем нь таны найдаж болох цөөхөн хэдэн зүйлийн нэг юм" гэж тэр хэлэхдээ NSA харилцаа холбооны аль ч төгсгөлд байгаа компьютеруудын хамгаалалт сул байгаа тул үүнийг тойрон гарах арга замыг байнга хайж олох боломжтой гэдгийг тэрээр санууллаа.
Баримт бичгүүд нь шифрийг тайлах чадавхитай холбоотой үнэмлэхүй нууцлалыг хадгалахын ач холбогдлын талаар анхааруулгатай тараагдсан байдаг.
Глостершир мужийн Челтенхэм дэх GCHQ цогцолборт шифрийг тайлахтай холбоотой төслүүдийг хэрхэн хэлэлцэх талаар хатуу удирдамж гаргасан. Шинжээчдэд: "Bullrun-ийг үндэслэсэн эх сурвалж, аргуудын талаар бүү асуу, эсвэл таамаглаж болохгүй" гэж зааварласан. Нэг баримт бичигт дурдсанаар энэ мэдээллийг маш нарийн хамгаалж байсан тул хөтөлбөрийн талаар мэдээлэл авах боломжтой хүмүүст хүртэл "Мэдэх шаардлагагүй" гэж анхааруулжээ.
Агентлагууд "энэ мэдээллийг гүйцэтгэгчдээс сонгон шалгадаг" байх ёстой байсан ч эцсийн дүндээ АНУ-ын 850,000 хүний нэг, маш нууц зөвшөөрөлтэй Сноуден үүнийг харсан. 2009 оны GCHQ баримт бичигт аливаа мэдээлэл алдагдсаны томоохон болзошгүй үр дагаврууд, тэр дундаа "салбарын харилцаанд учруулсан хохирол" зэргийг тодорхойлсон.
Тагнуулын ажилтнуудад "Нууцлалын гэрээгээ дагаж мөрдөх чадварт итгэх итгэлээ алдах нь шинэ чадавхийг хөгжүүлэхэд цаг хэмнэх өмчийн мэдээлэлд нэвтрэх боломжгүй болно" гэж хэлжээ. GCHQ-д бага зэрэг чухал зүйл бол олон нийтийн итгэлийг дунд зэргийн эрсдэл гэж тэмдэглэсэн гэж баримт бичигт дурджээ.
"Зарим ашиглагдах боломжтой бүтээгдэхүүнийг олон нийт ашигладаг; ашиглах боломжтой зарим сул талуудыг сайн мэддэг, жишээлбэл, буруу сонгогдсон нууц үгээ сэргээх боломжтой" гэж тэр хэлэв. "GCHQ эдгээр бүтээгдэхүүнийг ашигладаг гэдгийг мэдэж байгаа бөгөөд бидний чадавхийн цар хүрээ нь олон нийтийн мэдлэгийг нэмэгдүүлж, бид болон манай улс төрийн мастеруудын хувьд хүсээгүй сурталчилгааг бий болгоно."
Шифрийг тайлах нь GCHQ-д онцгой ач холбогдолтой. Түүний Tempora хөтөлбөрийн стратегийн давуу тал болох харилцаа холбооны томоохон корпорациудын Атлантын далайг дамнасан шилэн кабелиар шууд ашиглах боломж нь улам бүр олон томоохон интернет компаниуд өөрсдийн траффикийг шифрлэж, хэрэглэгчийн баталгаатай нууцлалыг хангах тухай хэрэглэгчийн шаардлагад хариу үйлдэл үзүүлэхийн хэрээр элэгдэх аюултай байв.
Анхаарал хандуулахгүй бол 2010 оны GCHQ баримт бичигт "Мэдээллийн урсгал өөрчлөгдөж, шинэ программууд хурдацтай хөгжиж, өргөн тархсан шифрлэлт улам бүр түгээмэл болж байгаа үед Sigint хэрэгсэл доройтох болно" гэж анхааруулжээ. Баримт бичгүүдээс үзэхэд Эджхиллийн анхны зорилго нь гурван томоохон (нэргүй) интернет компани болон бизнесүүд өөрсдийн системд алсаас аюулгүй нэвтрэх боломжийг олгодог 30 төрлийн Виртуал Хувийн Сүлжээний (VPN) баталгаажуулсан шифрлэгдсэн траффикийг тайлах явдал байв. 2015 он гэхэд GCHQ 15 томоохон интернет компани, 300 VPN-ийн ашигладаг кодыг эвдэнэ гэж найдаж байсан.
Cheesy Name нэртэй өөр нэг программ нь GCHQ суперкомпьютерээр хагарах эрсдэлтэй байж болох "сертификат" гэгддэг шифрлэлтийн түлхүүрүүдийг ялгах зорилготой байв.
Edgehill төслийн шинжээчид шифрийг тайлах төслийн хүрээнд томоохон вэб шуудангийн үйлчилгээ үзүүлэгчдийн сүлжээнд нэвтрэх арга зам дээр ажиллаж байсан. 2012 оны улирал тутмын шинэчлэлтэд төслийн баг Hotmail, Google, Yahoo, Facebook зэрэг дөрвөн том харилцаа холбооны үйлчилгээ үзүүлэгчийн талаар "ойлгохоор үргэлжлүүлэн ажиллаж байна" гэж тэмдэглээд "шинэ хандалтын улмаас энэ улиралд голчлон Google дээр анхаарлаа хандуулсан" гэж нэмж хэлэв. боломжуудыг хөгжүүлж байна".
Дотоод давуу талыг хангахын тулд GCHQ мөн Humint Operations Team (HOT) байгуулсан. Хуминт нь "хүний оюун ухаан" гэсэн үгийн товчлол нь эх сурвалж эсвэл нууц агентуудаас шууд олж авсан мэдээллийг хэлдэг.
Энэхүү GCHQ баг нь дотоод баримт бичгийн дагуу "дэлхийн харилцаа холбооны салбарын нууц агентуудыг илрүүлэх, элсүүлэх, ажиллуулах үүрэгтэй" байжээ.
"Энэ нь GCHQ-д хамгийн хэцүү зорилтуудынхаа заримыг даван туулах боломжийг олгодог" гэж тайланд дурджээ. NSA болон GCHQ-ийн шифрлэлтийн технологийн эсрэг хийж буй хүчин чармайлт нь бүх интернет хэрэглэгчдэд сөрөг үр дагаварт хүргэж болзошгүй гэж шинжээчид анхааруулж байна.
Америкийн Иргэний эрх чөлөөний холбооны ерөнхий технологич, бодлогын ахлах шинжээч Кристофер Согоян "Арын хаалга нь сайн аюулгүй байдалтай үндсэндээ зөрчилдөж байна" гэж хэлэв. "Арын хаалга нь зөвхөн тагнуулын байгууллагын зорилтууд гэлтгүй арын хаалгатай системийн бүх хэрэглэгчдийг мэдээлэл алдагдуулах эрсдэлд хүргэдэг." Учир нь програм хангамжийн бүтээгдэхүүнд арын хаалга, ялангуяа хэрэглэгчийн шифрлэгдээгүй харилцаа холбоо, өгөгдлийг олж авахад ашиглаж болох хаалгыг оруулах нь аюулгүй бүтээгдэхүүнийг зохион бүтээхэд ихээхэн хүндрэл учруулдаг."
Энэ нь цуурайтсан үзэл бодол байв Стефани Пэллийн саяхан бичсэн нийтлэл, АНУ-ын Хууль зүйн яамны прокурор асан, Стэнфордын хуулийн сургуулийн Интернэт, аюулгүй байдлын төвийн оршин суугч бус ажилтан.
"Арын хаалганы хууль ёсны хөндлөнгийн оролцоотой шифрлэгдсэн холбооны систем нь хэрэглэгчдийнхээ шифрлэгдээгүй харилцаа холбоонд хэзээ ч нэвтэрч чаддаггүй системтэй харьцуулахад харилцааны нууцлалыг сүйрлийн үр дагаварт хүргэх магадлал өндөр" гэж тэр хэлэв.
Тагнуулын албаны хүмүүс Guardian, New York Times, ProPublica сонинд энэ нийтлэлийг нийтлэхгүй байхыг хүссэн бөгөөд энэ нь гадаадын зорилтот хүмүүсийг цуглуулах, уншихад илүү хэцүү шифрлэлт эсвэл харилцааны шинэ хэлбэрт шилжүүлэхэд хүргэж болзошгүй гэж мэдэгдэв.
Гурван байгууллага зарим тодорхой баримтуудыг хассан боловч АНУ болон дэлхий даяарх интернет хэрэглэгчдийн хувийн нууцыг хамгаалах хамгийн хүчирхэг хэрэгслийг сулруулж буй засгийн газрын үйл ажиллагааны талаар олон нийтийн мэтгэлцээний үнэ цэнийг харгалзан уг түүхийг нийтлэхээр шийджээ.
ZNetwork нь зөвхөн уншигчдынхаа өгөөмөр сэтгэлээр санхүүждэг.
Хандивлах