禹庞罅
2019-08-15 02:08:34
ภาพถ่ายภาพประกอบโดย James Martin / CNET

รัฐบาลสหรัฐฯเรียกร้องให้ บริษัท อินเทอร์เน็ตรายใหญ่เปิดเผยรหัสผ่านที่เก็บไว้ของผู้ใช้ตามแหล่งอุตสาหกรรมสองแห่งที่คุ้นเคยกับคำสั่งซื้อเหล่านี้ซึ่งแสดงถึงการเพิ่มขึ้นของเทคนิคการเฝ้าระวังที่ไม่เคยมีการเปิดเผยมาก่อน

หากรัฐบาลสามารถกำหนดรหัสผ่านของบุคคลซึ่งโดยทั่วไปแล้วจะเก็บไว้ในรูปแบบที่เข้ารหัสข้อมูลประจำตัวสามารถใช้ในการเข้าสู่บัญชีเพื่อตรวจสอบการติดต่อที่เป็นความลับหรือแม้กระทั่งปลอมตัวเป็นผู้ใช้ การได้รับมันยังช่วยในการถอดรหัสอุปกรณ์ที่เข้ารหัสในสถานการณ์ที่รหัสผ่านถูกนำมาใช้ซ้ำ

"ฉันเห็นพวกเขาขอรหัสผ่านอย่างแน่นอน" แหล่งอุตสาหกรรมอินเทอร์เน็ตแห่งหนึ่งซึ่งกล่าวถึงเงื่อนไขการไม่เปิดเผยตัวตนกล่าว "เราดันกลับ"

บุคคลที่สองที่ทำงานใน บริษัท Silicon Valley ขนาดใหญ่ยืนยันว่าได้รับคำขอทางกฎหมายจากรัฐบาลกลางสำหรับรหัสผ่านที่เก็บไว้ บริษัท ต่างๆ "กลั่นกรองอย่างหนักหน่วง" คำขอเหล่านี้บุคคลดังกล่าว "มี 'ร่างกายที่ตายแล้วของฉันมากมาย'"

คำสั่งของรัฐบาลบางคำสั่งไม่เพียง แต่ต้องการรหัสผ่านของผู้ใช้ แต่ยังรวมถึงอัลกอริทึมการเข้ารหัสและเกลือที่เรียกว่าตามที่คนคุ้นเคยกับการร้องขอ เกลือเป็นสตริงตัวอักษรหรือตัวเลขแบบสุ่มที่ใช้เพื่อทำให้ยากต่อการย้อนกลับกระบวนการเข้ารหัสและกำหนดรหัสผ่านเดิม คำสั่งซื้ออื่น ๆ ต้องการรหัสคำถามลับที่มักเกี่ยวข้องกับบัญชีผู้ใช้

โฆษกของ Microsoft จะไม่บอกว่า บริษัท ได้รับการร้องขอจากรัฐบาลหรือไม่ แต่เมื่อถูกถามว่าไมโครซอฟท์จะเปิดเผยรหัสผ่านเกลือหรืออัลกอริธึมโฆษกตอบว่า: "ไม่เราทำไม่ได้และเราไม่สามารถเห็นสถานการณ์ที่เราจะให้ได้"

Google ปฏิเสธที่จะเปิดเผยว่าได้รับคำขอสำหรับข้อมูลประเภทเหล่านั้นหรือไม่ แต่โฆษกของ บริษัท กล่าวว่า "ไม่เคย" เปิดใช้รหัสผ่านที่เข้ารหัสของผู้ใช้และมีทีมกฎหมายที่มักจะผลักดันกลับไปยังคำขอที่มีการสำรวจการตกปลาหรือเป็นปัญหาอย่างอื่น “ เราให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัยของผู้ใช้เป็นอย่างมาก” โฆษกกล่าว

โฆษกหญิงของ Yahoo จะไม่พูดว่า บริษัท ได้รับคำขอดังกล่าวหรือไม่ โฆษกหญิงกล่าวว่า: "หากเราได้รับการร้องขอจากการบังคับใช้กฎหมายสำหรับรหัสผ่านของผู้ใช้เราจะปฏิเสธคำขอดังกล่าวเนื่องจากพวกเขาจะอนุญาตให้เข้าถึงข้อมูลส่วนตัวของผู้ใช้ในวงกว้างมากเกินไปหากเราจำเป็นต้องให้ข้อมูล เฉพาะในการตีความที่เข้มงวดที่สุดในสิ่งที่กฎหมายกำหนด "

Apple, Facebook, AOL, Verizon, AT&T, Time Warner Cable และ Comcast ไม่ตอบคำถามเกี่ยวกับว่าพวกเขาได้รับคำขอรหัสผ่านของผู้ใช้หรือไม่และพวกเขาจะตอบกลับอย่างไร

Richard Lovejoy ผู้อำนวยการของ Opera Software ซึ่งดำเนินงาน กล่าวว่าเขาจำไม่ได้ว่าได้รับการร้องขอใด ๆ แต่ บริษัท ยังมีผู้ใช้จำนวนค่อนข้างน้อยเมื่อเทียบกับคู่แข่งรายใหญ่ ด้วยเหตุนี้เขาจึงพูดว่า "เราไม่ได้รับปริมาณมาก" จากความต้องการของรัฐบาลสหรัฐ

FBI ปฏิเสธที่จะแสดงความคิดเห็น

รายละเอียดบางอย่างยังไม่ชัดเจนซึ่งรวมถึงเมื่อคำขอเริ่มขึ้นและความต้องการของรัฐบาลนั้นมีการกำหนดเป้าหมายที่บุคคลหรือทำการค้นหาฐานข้อมูลรหัสผ่านทั้งหมดหรือไม่ พระราชบัญญัติต่อต้านการก่อการร้ายได้ถูกนำมาใช้เพื่อ ของบันทึกการโทรและนักวิจารณ์ได้แนะนำการใช้งานให้กว้างขึ้น “ อำนาจของรัฐบาลนั้นไร้ขอบเขต” ภายใต้กฎหมาย Sen. Ron Wyden ซึ่งเป็นพรรคประชาธิปัตย์ในรัฐโอเรกอนซึ่งทำหน้าที่ในคณะกรรมการข่าวกรองวุฒิสภากล่าวใน สัปดาห์นี้

บริษัท อินเทอร์เน็ตขนาดใหญ่ได้ต่อต้านคำขอของรัฐบาลโดยอ้างว่า "คุณไม่มีสิทธิ์ในการใช้งานบัญชีในฐานะบุคคล" ตามบุคคลที่คุ้นเคยกับปัญหานี้ "ฉันไม่รู้ว่าจะเกิดอะไรขึ้นเมื่อรัฐบาลไปหาผู้ให้บริการขนาดเล็กและต้องการรหัสผ่านของผู้ใช้" บุคคลนั้นกล่าว

ทนายความที่เป็นตัวแทนของ บริษัท อินเทอร์เน็ตกล่าวว่าเขาไม่ได้ส่งคำขอรหัสผ่านของรัฐบาล แต่ "เราได้ทำการร้องขอการตั้งค่าใหม่แล้ว - หากคุณมีอุปกรณ์ที่คุณครอบครองการตั้งค่ารหัสผ่านใหม่เป็นวิธีที่ง่ายกว่า"

ซอร์สโค้ดสำหรับการติดตั้ง bcrypt ของ C ซึ่งเป็นอัลกอริทึมยอดนิยมที่ใช้สำหรับการแฮชรหัสผ่าน
ซอร์สโค้ดสำหรับการติดตั้ง bcrypt ของ C ซึ่งเป็นอัลกอริทึมยอดนิยมที่ใช้สำหรับการแฮชรหัสผ่าน ภาพถ่ายโดย Declan McCullagh

แคร็กรหัส
แม้ว่าหน่วยงานความมั่นคงแห่งชาติหรือ FBI จะได้รับรหัสผ่านที่เข้ารหัสเกลือและรายละเอียดเกี่ยวกับอัลกอริทึมที่ใช้สำเร็จแล้ว แต่ก็ยังไม่สามารถยืนยันรหัสผ่านดั้งเดิมของผู้ใช้ได้ อัตราต่อรองของความสำเร็จขึ้นอยู่กับปัจจัยสองอย่างคือประเภทของอัลกอริทึมและความซับซ้อนของรหัสผ่าน

อัลกอริทึมที่รู้จักกันในชื่อฟังก์ชั่นแฮชที่ถูกมองว่าเหมาะสมสำหรับการตรวจรหัสผ่านที่เก็บไว้ถูกออกแบบมาให้ยากต่อการย้อนกลับ ตัวอย่างฟังก์ชันแฮชยอดนิยมหนึ่งชื่อ MD5 แปลงวลี "National Security Agency" เป็นสตริงของอักขระสุ่มที่ดูเหมือนว่า: 84bd1c27b26f7be85b2742817bb8d43b นักวิทยาศาสตร์คอมพิวเตอร์เชื่อว่าหากฟังก์ชั่นแฮชได้รับการออกแบบมาอย่างดีวลีดั้งเดิมไม่สามารถได้มาจากผลลัพธ์

แต่คอมพิวเตอร์สมัยใหม่โดยเฉพาะอย่างยิ่งคอมพิวเตอร์ที่ติดตั้งการ์ดแสดงผลประสิทธิภาพสูงสามารถทดสอบรหัสผ่านที่แปลงสัญญาณรบกวนด้วย MD5 และอัลกอริทึมแฮชอื่น ๆ ที่รู้จักกันดีในอัตรา ระบบหนึ่งที่ใช้ GPU ที่ขับเคลื่อนโดย Radeon 25 ตัวซึ่ง ในการประชุมเมื่อเดือนธันวาคมที่ผ่านมาทดสอบแฮชจำนวน 348 พันล้านต่อวินาทีหมายความว่ามันจะถอดรหัสรหัสผ่าน Windows XP 14 ตัวอักษรในหกนาที

แนวปฏิบัติที่ดีที่สุดในบรรดา บริษัท ใน Silicon Valley คือการใช้อัลกอริทึมแฮชที่ช้ากว่า - ออกแบบให้ใช้เวลาเพียงเสี้ยววินาทีในการแย่งรหัสผ่าน - ซึ่งได้รับการออกแบบมาโดยเจตนาเพื่อทำให้ยากขึ้นและมีราคาแพงกว่าสำหรับ NSA และผู้โจมตีอื่น ๆ ทดสอบทุกชุดที่เป็นไปได้

อัลกอริทึมยอดนิยมหนึ่งที่ใช้โดย Twitter และ LinkedIn เรียกว่า bcrypt บทความในปี 2009 ( ) โดยนักวิทยาศาสตร์คอมพิวเตอร์ คาดว่าจะเสียค่าใช้จ่ายเพียง $ 4 ในการถอดรหัสโดยเฉลี่ยหนึ่งปีรหัสผ่าน bcrypt 8 ตัวอักษรประกอบด้วยตัวอักษรเท่านั้น ในการทำเช่นนี้โดยเฉลี่ยหนึ่งวันค่าฮาร์ดแวร์จะเพิ่มขึ้นเป็นประมาณ $ 1,500

แต่หากรหัสผ่านที่มีความยาวเท่ากันรวมถึงตัวเลขเครื่องหมายดอกจันเครื่องหมายวรรคตอนและอักขระพิเศษอื่น ๆ ค่าใช้จ่ายต่อปีจะเพิ่มขึ้นเป็น $ 130,000 การเพิ่มความยาวเป็น 10 ตัวอักษรใด ๆ Percival ประมาณในปี 2009 นำค่าใช้จ่ายในการถอดรหัสประมาณ $ 1.2 พันล้าน

เนื่องจากคอมพิวเตอร์มีประสิทธิภาพมากขึ้นค่าใช้จ่ายในการถอดรหัสรหัสผ่าน bcrypt จึงลดลง Percival ผู้ก่อตั้ง บริษัท ที่เรียกว่า ซึ่งเสนอบริการสำรองข้อมูลออนไลน์สำหรับผู้หวาดระแวงอย่างแท้จริง " เพอซิวาลกล่าวเพิ่มเติมว่าหน่วยงานของรัฐน่าจะใช้ ASICs ซึ่งเป็นวงจรรวมเฉพาะแอปพลิเคชันสำหรับการถอดรหัสรหัสผ่านเพราะเป็นวิธีที่ประหยัดต้นทุนมากที่สุด

ในขณะที่พัฒนา Tarsnap นั้น Percival ได้คิดค้นอัลกอริธึมที่เรียกว่า ซึ่งเขาคาดการณ์ว่าสามารถสร้าง "ต้นทุนการโจมตีด้วยอาวุธเดรัจฉาน - พลังโจมตี" โดยใช้รหัสผ่านที่ถูกแฮชมากกว่า 4,000 เท่าของ bcrypt

Bcrypt เปิดตัว ( ) ในการประชุม Usenix ปี 1999 โดย ปัจจุบันเป็นวิศวกรที่มีชื่อเสียงในกลุ่มโครงสร้างพื้นฐานของ Google และ รองศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์ที่ Stanford University

ด้วยคอมพิวเตอร์ที่มีอยู่ในปัจจุบัน "bcrypt จะไม่สามารถใช้กับฮาร์ดแวร์ได้อย่างดี" Mazièresกล่าวดังนั้นมันจะ "ยังคงมีราคาแพงมากที่จะทำการแคร็กที่แพร่หลาย"

แม้ว่า "NSA กำลังขอการเข้าถึงรหัสผ่าน bcrypt ที่ถูกแฮช" Mazièresกล่าว "นั่นไม่ได้หมายความว่าพวกเขาจะถอดรหัสพวกเขา" เขากล่าวว่าวิธีที่ง่ายกว่านั้นรวมถึงคำสั่งให้ดึงข้อมูลออกจากเซิร์ฟเวอร์หรือเครือข่ายเมื่อผู้ใช้ลงชื่อเข้าใช้ซึ่ง หรือติดตั้ง

Sen. Ron Wyden ผู้เตือนสัปดาห์นี้ว่า "อำนาจของรัฐบาลนั้นไร้ขอบเขต" ภายใต้บทบัญญัติทางธุรกิจของพระราชบัญญัติ Patriot Act
Sen. Ron Wyden ผู้เตือนสัปดาห์นี้ว่า "อำนาจของรัฐบาลนั้นไร้ขอบเขต" ภายใต้บทบัญญัติทางธุรกิจของพระราชบัญญัติ Patriot Act เก็ตตี้อิมเมจ

คำถามของกฎหมาย
สำนักงานความมั่นคงแห่งชาติหรือเอฟบีไอมีอำนาจทางกฎหมายที่จะเรียกร้องให้ บริษัท อินเทอร์เน็ตเปิดเผยรหัสผ่านที่ถูกแฮชเกลือและอัลกอริทึมให้นิ่งหรือไม่

"นี่เป็นหนึ่งในคำถามทางกฎหมายที่ยังไม่ได้รับคำตอบ: มีสถานการณ์ใดบ้างที่พวกเขาจะได้รับข้อมูลรหัสผ่าน?" ผู้อำนวยการฝ่ายสิทธิเสรีภาพที่ศูนย์อินเทอร์เน็ตและสังคมของมหาวิทยาลัยสแตนฟอร์ดกล่าว "ฉันไม่รู้"

Granick กล่าวว่าเธอไม่ทราบถึงแบบอย่างใด ๆ สำหรับ บริษัท อินเทอร์เน็ต "เพื่อให้รหัสผ่านเข้ารหัสหรืออื่น ๆ หรืออัลกอริทึมรหัสผ่านให้กับรัฐบาล - สำหรับรัฐบาลในการถอดรหัสรหัสผ่านและใช้พวกเขาโดยไม่ได้รับอนุญาต" หากรหัสผ่านจะถูกใช้เพื่อเข้าสู่บัญชีเธอบอกว่านั่นคือ "การเฝ้าระวังที่คาดหวัง" ซึ่งจะต้องมีคำสั่ง wiretap หรือคำสั่งการติดตามข่าวกรองต่างประเทศ

หากรัฐบาลสามารถกำหนดรหัสผ่านได้ในภายหลัง "มีความกังวลว่าผู้ให้บริการจะเปิดใช้งานการเข้าถึงบัญชีของผู้ใช้โดยไม่ได้รับอนุญาตหากพวกเขาทำเช่นนั้น" Granick กล่าว เธอสามารถกล่าวได้ยกประเด็นทางกฎหมายภายใต้พระราชบัญญัติการสื่อสารที่เก็บไว้และพระราชบัญญัติการทุจริตและการใช้คอมพิวเตอร์

ศาสตราจารย์ด้านกฎหมายที่มหาวิทยาลัยจอร์จวอชิงตันและอดีตอัยการสหพันธรัฐไม่เห็นด้วย ก่อนอื่นเขากล่าวว่า "การแอบอ้างเป็นบุคคลที่ถูกกฎหมาย" เพื่อให้ตำรวจทำตราบเท่าที่พวกเขาทำภายใต้การกำกับดูแลของศาลผ่านพระราชบัญญัติ Wiretap

ประการที่สองเคอร์กล่าวว่าความเป็นไปได้ที่รหัสผ่านสามารถใช้ในการเข้าสู่บัญชีของผู้ใช้นั้นไม่เพียงพอสำหรับผู้ให้บริการเว็บที่ปฏิเสธที่จะเปิดเผยรหัสผ่าน "ฉันไม่รู้ว่าจะละเมิดพระราชบัญญัติ Wiretap อย่างไรเพื่อให้ได้ข้อมูลตามกฎหมายเฉพาะบนพื้นฐานที่ข้อมูลอาจถูกใช้เพื่อกระทำการละเมิด Wiretap" เขากล่าว

กระทรวงยุติธรรมได้โต้เถียงในกระบวนการพิจารณาของศาลก่อนที่จะมีอำนาจทางกฎหมายในวงกว้างในการรับรหัสผ่าน ยกตัวอย่างเช่นในปี 2554 อัยการสหรัฐได้ส่งหมายศาลลูกขุนใหญ่เรียกร้องรหัสผ่านที่จะปลดล็อกไฟล์ที่เข้ารหัสด้วยยูทิลิตี้

ชายชาวฟลอริดาที่ได้รับหมายศาลอ้างว่าการแปรญัตติครั้งที่ห้าซึ่งคุ้มครองสิทธิของเขาในการหลีกเลี่ยงการถูกตำหนิตนเองทำให้เขาปฏิเสธข้อเรียกร้องของอัยการ ในเดือนกุมภาพันธ์ 2012 ศาลอุทธรณ์ศาลสหรัฐฯสำหรับวงจรที่สิบเอ็ดเห็นพ้องกันว่าเพราะอัยการสามารถนำคดีอาญามาฟ้องเขาโดยพิจารณาจากเนื้อหาของไฟล์ที่ถูกถอดรหัสผู้ชายคนนั้น "ไม่สามารถบังคับให้ถอดรหัสไดรฟ์"

ในเดือนมกราคม 2012 ผู้พิพากษาเขตของรัฐบาลกลางในโคโลราโดได้ข้อสรุปที่ตรงกันข้ามโดยมีคำวินิจฉัยว่าจำเลยทางอาญาอาจถูกบังคับภายใต้พระราชบัญญัติ All Writs เพื่อพิมพ์รหัสผ่านที่จะปลดล็อคแล็ปท็อปโตชิบา Satellite

อย่างไรก็ตามทั้งสองกรณีนี้จัดการกับการดำเนินคดีทางอาญาเมื่อผู้ถือรหัสผ่านเป็นเป้าหมายของการสอบสวนและไม่ต้องดำเนินการเมื่อเก็บรหัสผ่านที่แฮชไว้ในเซิร์ฟเวอร์ของ บริษัท ที่เป็นบุคคลที่สามที่ไร้เดียงสา

“ หากคุณสามารถหารหัสผ่านของใครบางคนคุณมีความสามารถในการนำบัญชีมาใช้ซ้ำ” ซึ่งทำให้เกิดความกังวลด้านความเป็นส่วนตัวที่สำคัญ เจ้าหน้าที่เทคโนโลยีอาวุโสของ กล่าว

อัปเดตล่าสุดเมื่อวันที่ 26 กรกฎาคมเวลา 12.00 น. PT พร้อมด้วยความคิดเห็นจาก Orin Kerr การอัปเดตก่อนหน้านี้ได้เพิ่มความคิดเห็นจาก Yahoo ซึ่งตอบสนองหลังจากบทความนี้ได้รับการเผยแพร่

การเปิดเผย: McCullagh แต่งงานกับพนักงาน Google ที่ไม่เกี่ยวข้องกับปัญหานี้

แบ่งปันเสียงของคุณ

แท็ก