悪用可能なセキュリティホールを作成する政府のバックドアの既知の事例はありますか?
Apple v FBIの戦いが繰り広げられるにつれて、政府のバックドアが話題になるでしょう。その背景として、2つの質問があります。
- 政府がハイテク企業に自社製品にバックドアを導入するよう強制した既知の事例はありますか? (私は政府が悪用することができた偶発的なセキュリティホールについて話しているのではなく、企業が暗号化されていないデータを所有しているだけで引き渡すことについても話していません。)
- 政府のバックドアが他の攻撃者に悪用されたり、その使用方法に関する情報が公開されたりして、製品のユーザーに深刻なセキュリティの脅威をもたらすケースはありますか?
私は世界中の新旧両方の例に興味があります。基本的に私が欲しいのは、「まあ、政府だけが知っているバックドアは誰にも害を及ぼす可能性はない」という議論に対する効果的な反論として使用する例です。
- ギリシャ2004–05の盗聴事件 :正式に義務付けられているが無効にされた話し合いへのインターフェースは、知名度の高い政治家による話し合いを聞くために未知のエンティティによって使用されました。
- Juniper VPNバックドア :NSA必須の安全でないランダムジェネレーターを未知のパーティーによって追加された変更と共に使用すると、単純なパッシブスニッフィングによるサードパーティによるVPNトラフィックの復号化が可能になります。
- ヨーロッパのいくつかの政府が使用しているLotus Notesの暗号化のバックドア 。彼らはより強力な暗号化を備えたバージョンを取得しましたが、NSA鍵の一部を制御したため、実際にはNSAがコンテンツを復号化できるバージョンを取得しました。
- 政府が義務付けている輸出規制により、SSLのEXPORT暗号が導入されています。より強力な暗号をエクスポートできなかったため、これらの暗号は米国外で使用されました。これはずっと前のことですが、暗号はまだ存在し、最終的に FREAK攻撃 につながります。
- GCHQはGSM標準に弱い暗号化を強制しました 彼らがモバイル通信を解読できるようにしました。