Układy szyfrujące podejrzanej chińskiej firmy w urządzeniach NATO, US Navy, NASA…
Dla każdego zainteresowanego kryptografią to prawdziwa bomba. WIRED opublikował artykuł Andy’ego Greenberga dotyczący tego, że wiele istotnych podmiotów związanych z bezpieczeństwem może korzystać z chipów produkowanych przez firmę powiązaną z chińską armią.
O co chodzi? Z pewnością znacie historię, albo przynajmniej słyszeliście o zakazie dla Huawei na amerykańskim (i nie tylko) rynku. Oczywiście to nie jest jedyna firma, na którą Amerykanie zwracają uwagę w kontekście bezpieczeństwa przetwarzania informacji. Na specjalnej liście ostrzeżeń publikowanej przez amerykański Departament Handlu znajduje się również chiński producent chipów szyfrujących, firma Hualan. Firma na zastrzeżoną listę podmiotów trafiła już dawno, ale teraz wyszła na jaw grubsza sprawa. Otóż okazuje się, że wiele amerykańskich agencji rządowych, od Federalnej Administracji Lotnictwa, przez DEA (Drug Enforcement Administration), Marynarkę Stanów Zjednoczonych, czy NASA, a także instytucje wojskowe i wywiadowcze nie tylko USA, ale i państw NATO korzystają z szyfrowanych dysków twardych. Nic dziwnego, prawda? Czytajcie dalej.
W wielu tego typu urządzeniach funkcjonują chipy pełniące rolę kontrolerów mostkowych pomiędzy interfejsem wymiany danych (np. USB), a układami pamięci masowej lub klasycznymi dyskami twardymi (zależnie od typu szyfrowanego nośnika). Okazało się, że wiele zamówionych już przez instytucje przetwarzające dane wrażliwe szyfrowanych dysków, korzysta z chipów dostarczanych przez tajwańską firmę Initio. W czym problem? Przecież Tajwan, to nie kontynentalne Chiny, prawda? Owszem, kłopot jednak w tym, że okazało się iż Initio jest spółką zależną wspomnianej firmy Hualan, w której Amerykanie odnaleźli powiązania z chińską armią. Wielu producentów urządzeń pamięci masowej (Wired wymienia m.in. Lenovo, Western Digital, Verbatim, Zalman) czasem używało chipów szyfrujących sprzedawanych przez Initio.
Kryptografowie są zgodni, że choć nie udało się jak dotąd znaleźć żadnego backdoora w urządzeniach zawierających wspomniany chip, to nie znaczy to, że go nie ma, bo znalezienie takiego złośliwego kodu „zaszytego” w samej strukturze układu scalonego jest ekstremalnie trudnym zadaniem. Sam fakt że w wielu urządzeniach już funkcjonujących w instytucjach przetwarzających wrażliwe informacje pracują chipy pochodzące od tajwańskiego dostawcy, który okazuje się być spółką zależną od chińskiego producenta, nie budzi zaufania, co do pewności bezpieczeństwa tak zaszyfrowanych informacji. Jeżeli jesteście dalej zainteresowani tym tematem, odsyłam do znacznie obszerniejszego tekstu Andy’ego Greenberga w Wired.
