Néhány gondolat a BlackBerry "lehallgatásával" kapcsolatban

Tegnap futótűzként kezdett terjedni az interneten a hír, miszerint a kanadai yard 2010-től kezdődően sikeresen visszafejtett egy bűnügy kapcsán bizonyos BlackBerryk közti kommunikációt. Az ügyet exkluzívként tálaló Vice News cikke azt sugallja, hogy a nyomozószerveknek valahogy a birtokába került az a mesterkulcs, amivel ezt megtehették, bár azt senki nem tudja biztosan, hogy ez pontosan hogyan került hozzájuk, és még mindig használják-e "megfigyelésre". 

A sajtó persze - részben az Apple-FBI csörte hatására - felkapta a sztorit, a témában megjelent cikkek egy része azonban szokás szerint köszönőviszonyban sincs a valósággal, de legalábbis némi pontosításra szorul. 

Először is, több cikk határozottan állítja, hogy hat évvel ezelőtt a kanadaiak kezébe került mesterkulcs a BBM titkosítását oldja fel, illetve kvázi akinek ez a kulcs a birtokába kerül, az kénye-kedve szerint beleolvashat bárkinek az üzeneteibe. Ez azonban egyértelműen hülyeség, mivel még a forrás cikk is PIN to PIN üzenetet ír, aminek kétségtelenül van köze a BBM-hez, nagyjából annyi, mint szekérnek a Lamborghinihez (gyk mindkettőnek négy kereke van).

A fenti hasonlat abból a szempontból is találó, hogy a PIN to PIN üzenetek tekinthetők a BBM ősének: A rendszer arra épült, hogy két BlackBerry közt direktben lehessen üzenetet küldeni a BlackBerry (akkor még RIM) szerverén keresztül, a készülékek egyedi azonosítóját (vagyis a PIN-t - aminek semmi köze SIM-ek, vagy bankkártyák PIN-jéhez!) felhasználva. A PIN üzenetek 168 bites 3DES titkosítást használtak, a visszafejtéshez szükséges univerzális kulcsokat pedig minden BlackBerry tartalmazta gyárilag. Vagyis aki ennek a kulcsnak a birtokában van (volt), és valahogy hozzájut(ott) a készülékek közti kódolt adatfolyamhoz, minden üzenetbe beleolvashat(ott). Nagyjából ezt érte el a kanadai rendőrség 2010-ben.

A BBM ehhez képest ma már erősebb titkosítást használ, így a 3DES titkosítás felett egy másik titkosítási réteg (TLS, vagyis Transport Layer Security) is húzódik. Ez a titkosítási módszer (amit többek közt a banki kommunikációban is használnak) máshogy épül fel, mint a 3DES, vagyis nem létezik egy olyan univerzális, mindenható kulcs, amivel minden üzenetet vissza lehetne fejteni. A (nagy)vállalatoknak kínált BBM Protected még ezt a titkosítási szintet is megemeli egy harmadik titkosítási réteg, a PGP beiktatásával, ami a váltakozó kulcspárok miatt a manapság elérhető egyik legbrutálisabb titkosítási metódus.

Magyarul ha BlackBerryd van, vagy BBM-et használsz más készüléken, ez a mostani "leleplezés" jó eséllyel egyáltalán nem érint téged, ha pedig 4-5 évnél régebbi BlackBerry típust használsz és még mindig PIN-üzenetekkel kommunikálsz valakivel, aki hozzád hasonlóan 4-5 évnél régebbi BlackBerryvel nyomul, akkor meg magadra vess.

Az ügy persze ettől még felvet bizonyos kérdéseket, például hogyan került az ominózus mesterkulcs a kanadai rendőrökhöz, illetve a rendőrség miért nem a mesterkulccsal rendelkező BlackBerrytől kérte az érintett adatok (kommunikáció) kiadását - ami egyébként a legális útja lenne egy nyomozati tevékenységnek. Vagy miért pont most ütött be a mennykő, amikor az ügyben érintett bírósági tárgyalás alapján évek óta kvázi nyilvános volt, hogy a kanadaiak BlackBerryk közti kommunikációt hallgattak le.

Itt tartunk most, remélhetőleg a BlackBerry is ismerteti mielőbb az álláspontját a témában, és tisztáz néhány hülyeséget, amit az utóbbi órákban produkált a netes hírgyár.