Nem, ezúttal nem a BlackBerry Messengerről van szó, ami egyébként régóta titkosított kommunikációt használ (ami azt illeti, TLS-t), hanem a SecuSmart nevű, immár a kanadai cég tulajdonában lévő német vállalat új termékéről, a SecuSUITE for Enterprise-ról. A novemberben bejelentett, titkosított hang- és szöveges kommunikációra használható platform mostantól érhető el éles üzemben is.

secusuite_enterprise.jpg

Fontos, hogy ez nem ugyanaz a SecuSUITE, amit frau Merkel és a fél német államvezetés is használ, hanem annak egyfajta kistesója. Míg a korábbi SecuSUITE, amit időközben SecuSUITE for Governmentre kereszteltek, hardveres titkosítást használ kriptochipen keresztül, addig a SecuSUITE for Enterprise szoftveresen, AES128-bites rendszerben titkosítja az adatfolyamot. Egyébként az egészet úgy kell elképzelni, mint egy szuperbiztonságos chat- és VoIP-klienst (ehhez hasonló például a Signal, vagy éppen az iOS-exkluzív CryptTalk), ahol a saját hívószámodat használhatod azonosítóként, vagyis nem kell külön kontakt listát fenntartanod a programnak. Persze a titkosítás csak úgy működik, ha mindkét oldalon ugyanazt a kilenst használják, gondolom ez azért mindenkinek magától értetődő.

A SecuSUITE for Enterprise egyébként szinte teljes egészében a BlackBerry saját infrastruktúrájára épül, pont mint a BBM, és bár beilleszthető a BlackBerry saját mobilmenedzsment-platformjába, ez nem kötelező elem. A SecuSUITE for Enterprise éves licencdíjért cserébe vehető igénybe, hogy ez pontosan mekkora összeg, az egyelőre nem teljesen világos, aki talál árlistát, esetleg linkelje be a kommentek közé.

A SecuSUITE for Enterprise brossúrát itt találjátok a részletekkel (angolul).

Arról már korábban beszámoltunk (most túl fáradt vagyok előkeresni, és linkelni, bocs), hogy a BlackBerry 10 rendszer biztonsága elnyerte a német kormányzat tetszését, így több ezer magasrangú tisztviselő fog újgenerációs szedret kapni. Ami a németek számára döntő volt, hogy a korábbi BlackBerrykhez képest az internetes kommunikáció immár nem a BlackBerry központi szerverein keresztül kell, hogy áthaladjon, hanem az decentralizálható - így a teljes adatforgalom Németországban, a német szervek által üzemeltetett szervereken és hálózatokon maradhat. Ezt egészíti ki, hogy egy német vállalat, a Secusmart hardveres kripto-chippel (nem kripta!) tudja felszerelni a BlackBerryket, hogy minden hanghívás (!), SMS, email és chat erős titkosítást kaphasson.

A BlackBerrynek annyira megtesztett ez a megoldás, hogy nemrég fel is vásárolta a céget.

GERMANY-MERKEL_43.jpg

Német lapok által most felszínre került, hogy milyen további feltételekhez kötötte a német kormány, hogy a BlackBerrytől, pontosabban a Secusmarttól vásároljanak magas biztonsági szintű telefonokat. Ezek egyike sem igazán meglepő, de mindig érdekes belátni függönyök mögé:

  • a Secusmart kutatás-fejlesztése és gyártása továbbra is Németországban kell, hogy maradjon, és továbbra is a Secusmarton keresztül vásárolja a német állam a biztonságos mobilokat;
  • a BlackBerrynek meg kell mutatnia a BB10 forráskódot a német biztonsági szerveknek, hogy azok átnézhessék, és auditálhassák;
  • bármilyen biztonsági rés jut a BlackBerry tudomására, azt a német szerveknek azonnal továbbítania kell;
  • a BlackBerry jogi vállalást tett a német kormány felé, hogy nem lehetnek kötelezettségei más hírszerző szolgálatok felé bizalmas információk kiadásáról (vagyis nem adhat át információt a németekről).

Nyilvánvaló, hogy a feltételek egyúttal azt is szolgálják, hogy a német kormányzati kommunikációt az egyébként szövetséges brit és amerikai hírszerzési szerverzetek ne, vagy sokkal nehezebben tudják lehallgatni, ahogyan az botrányos körülmények közepette kiderült a múltban.

Ne legyünk persze naívak, az NSA-CIA, és GCHQ-SIS erőforrásait és eszközeit ép ésszel felfogni is nehéz, és ha diplomáciai akadályát nem látják, előbb-utóbb megtalálják a módját, hogy megszerezzék, amit akarnak - talán a BlackBerry forráskódjába nyúlnak majd bele titokban, ügynökök vagy hackelés révén; vagy akár a Secusmarthoz építenek be valakit, hogy sebezhetőséget nyisson a titkosításban; esetleg a telefonokat szállítás közben fogják el, cserélik ki sebezhetőekre. Vagy csak egyszerűen nekimennek a titkosításnak egy tíz megawattos szuperszámítógéppel és egy csapat matematikussal. A védelmi rendszereknél sosem az a kérdés, megtörnek-e, hanem hogy milyen gyorsan. A lecke mindenesetre fel van adva.

Ezek szerint John Chennek nem csak a szája a jár, amikor arról beszél, hogy a BlackBerry részben visszatér gyökereihez, és a professzionális felhasználókat a korábbinál fókuszáltabban szolgálja ki. A kanadai vállalat nagyjából egy órája közölte, hogy felvásárolja a kommunikációs titkosítással foglalkozó német Secusmart GmbH-t.

Azoknak, akiknek a név nem mond semmit, emlékeztetőül: ez ugyanaz a cég, amelyik a német kormányzati szektornak is szállít hardveres titkosítással felszerelt BlackBerryket. Ezek azok a BlackBerryk, amelyek a mai napig a kizárólagosan elfogadottak az érzékeny feladatokat ellátó tisztviselők számára. Mint például Angela Merkel kancellár. Ezenkívül a hardveres titkosítással ellátott telefonokat minősítette a NATO is belső használatra.

A Secusmart terméke a microSD foglalatba illeszkedő titkosító chipkártya. A SecuSUITE névre hallgató termék a chipkártyával az összes hang, sms, email és egyéb adatkommunikációt titkosít 128 bites AES algoritmussal és azt csak egy arra jogosult, megfelelő chipkártyával szintén rendelkező fogadó fél olvashatja el.

bb-secusmart.png

A titkosítás a privát-publikus kulcs alapú elvet követi: ennek a lényege,hogy minden kommunikáció annak megfelelően kerül titkosításra, hogy ki a címzett. A titkosítást magát bárki el tudja végezni, visszaolvasni ugyanakkor csak a címzett tudja (pontosabban azok a címzettek, amelyek rendelkeznek a megfelelő kulccsal, vagyis lehetőség van csoportszinű kulcsok bevezetésére a teljesen egyéni privát kulcsok mellett). Fontos természetesen, hogy ne csak BlackBerryken lehessen ezeket az üzeneteket elolvasni, ha arra igény van, ez a kripto infrastruktúra sztenderdnek tekinthető, és beilleszthető egy nagyobb környezetbe, PC-kkel és szerverekkel együtt.

A felvásárlási tranzackió hatósági jóváhagyásra vár, de semmi okunk feltételezni, hogy az üzletet nem a német kormányzat előzetes rábólintásával kötötték meg. Erre utal ugyanis, hogy a németek tegnap nyilvánították ki szándékukat további 20 ezer BlackBerry 10-es telefon vásárlására, hogy növeljék a kommunikációjuk biztonságát. Ez a 20 ezer telefon az eddig már használatba vett 3 ezerhez csatlakozna.

A németek buzgalmát az amerikai NSA és a brit GCHQ kémszervezetek által okozott lehallgatási botrányok magyarázzák. A Snowden által kiszivárogtatott anyagok alapján az amerikaiak és a britek átfogóan lehallgattak német hivatalnokokat, és képesek voltak megtörni a régebbi BlackBerryk biztonságosnak hitt kommunikációját. Az új BB10-es infrastruktúra előnye kettős: nemcsak új hardveres titkosítást kaptak a telefonok, de a kommunikáció maga is könnyebben védhető azáltal, hogy azoknak immár nem kell áthaladniuk a BlackBerry adatközpontjain, vagyis nem hagyják el az országot. Minden jel arra utal, hogy Snowden után az új BlackBerry sokkal vonzóbb lett a szellemi tulajdonára érzékeny vállalatok és kormányzatok számára - a Secusmart felvásárlása ezt erősíti tovább.

Miután a németek úgy döntöttek, a BB10 egy kiegészítő titkosító chipkártyával együtt elég biztonságos ahhoz, hogy végre nemzetbiztonságilag érzékeny feladatokra is használják - 5 ezer Z10-et fognak vásárolni kormányzati dolgozóknak -, a britek ellenkező irányban mozdultak el, pillanatnyilag legalábbis. Miközben a BB 7.1 OS a brit kormányzat szerint alkalmas "korlátozott" besorolású adatokat kezelni, amely a második szint egy ötfokozatú biztonsági skálán, addig a BB10 nem kapott jóváhagyást (adódik persze a kérdés, hogy ha a BB 7.1 is csak 2. szint, akkor mi a rossebbet használnak 3-5. szinteken mobilként).

z10_uk.jpg

A BlackBerry természetesen tud a britek döntéséről, ugyanakkor nem kommentálta a kifogásokat, sem pedig azt, hogy mikor fog tudni megfelelni a brit kormányzati elvárásoknak. Kihangsúlyozta ugyanakkor, hogy a BlackBerry az egyetlen olyan mobil megoldás, amelyet "korlátozott" szinten lehet használni (vagyis ez arra utal, hogy 3-5. szinteken lévő adatokat tilos mobilkommunikációs eszközön megbeszélni vagy továbbítani), és biztosak benne, a BB10 idővel megkapja a jóváhagyást és a cég pozíciója tovább erősödik a birt kormányzatnál.

(Tom és Berry: Közben kiderült, hogy 1), nem is volt semmilyen minősítés, és a nyár előtt nem is lesz, úgyhogy nehéz lett volna bárminek megfelelni 2), emellett a BlackBerry is kiadott egy nyilatkozatot, amely szerint a cég biztos benne, hogy megkapja a Communications-Electronics Security Group (vagyis a CESG) minősítését. Úgyhogy simán lehet még James Bondnak BlackBerryje.)

A hét elején több internetes oldal is szenzációként hozta le a hírt, miszerint feltörték a BlackBerry okostelefonok "feltörhetetlen" titkosítását. Mielőtt mindenki - főleg a céges felhasználók - sírva szaggatnák meg a ruhájukat a hír hallatán, szeretnénk megnyugtatni titeket: nem tört fel semmit az orosz ElcomSoft, főleg nem a BlackBerryk titkosító algoritmusát.

Először is érdemes tisztázni, hogy nem az adatforgalom titkosításáról van szó - ez továbbra is SSL, valamint AES és 3-DES titkosítással zajlik, amit eddig összességében nem nagyon sikerült feltörnie még senkinek, de legalábbis nem hinnénk, hogy az a pár év befektetett munka bárki számára megtérülő lenne. Az ominózus "törés" csupán a készülékjelszót képes visszafejteni, de ezt sem úgy, hogy bármilyen rést ütne a BlackBerryk jelszórendszerének pajzsán.

Az oroszok által lefejlesztett jelszóvisszafejtő mindössze a jó öreg brute force megoldást hívja segítségül, és csak akkor működik, ha a memóriakártyát is a készülékjelszóval titkosítják, különben nagyjából semmire sem jó. A program tehát lényegében nem csinál mást, mint találgat, egy a memóriakártyán lévő állomány folyamatos visszafejtésével, arra alapozva, hogy a telefonokon használt jelszavak nem különösebben bonyolultak. Ha a memóriakártyán lévő adatokat sikerült visszafejteni, és megvan a jelszó, elvileg nyitható a telefon is.

Csakhogy egyrészt ha nincs jelszó a memóriakártyán, a "crack" eleve nem működik, hasznavehetetlen továbbá akkor, ha a kártyán lévő adatokat a készülék kulcsával titkosítják, vagyis a memóriakártya csak és kizárólag abban a telefonban működik így, aminek a kulcsát hozzárendelték. Ennek a védelmi módszernek egyetlen szépséghibája van: ha a BlackBerry valamiért tönkremegy, jó eséllyel örökre búcsút lehet inteni a kártyán lévő információknak is.

Azért jó alaposan megkavart, brute force biztos jelszavakkal így is borsot lehet törni az ElcomSoft rendszerének orra alá: egy kis- és nagybetűt, számot és más, egyedi karaktert is tartalmazó nyolckarakteres jelszót egy kétmagos processzorral ellátott modern számítógép 23 év alatt tudna visszafejteni, de egy szuperszámítógépnek is csaknem három hónapot kéne gondolkodnia, mire kinyögné a helyes jelszót. Másrészt viszont ha valaki például csak kis- és nagybetűket használ a jelszóban, és az történetesen hat karakterből áll, már egy átlagos PC is uszkve fél óra alatt vissza tudja fejteni a 308,9 millió kombinációt.

Vajon a te jelszavadat mennyi idő alatt tudnák kitalálni?

süti beállítások módosítása