研究人员说,英国语音加密协议具有巨大的弱点
伦敦大学研究员的说法,英国政府为加密语音呼叫而设计和促进的议定书,该协议内置了它的逐个设计弱点,这可能允许大规模监测。
史蒂文默多克,在大学的信息安全研究组中,分析了CESG开发的协议,这是间谍机构GCHQ的一部分。
Mikey-Sakke(多媒体互联网键盘-Sakai-Kasaharakey加密)协议要求由服务提供商举行的主解密密钥,他在周二发布的分析中写道。
“在永久可用的计算机上,可以在没有检测的计算机上解密所有呼叫和存在的主私钥的存在,为攻击者创造了巨大的安全风险,并为攻击者提供了不可抗拒的目标。”
寻求构建安全系统的加密工程师避免了这种方法,称为关键托管,因为它使得持有关键的任何实体成为攻击的目标。它还使用户更容易受到法律行动的影响,例如秘密法庭命令。
英国政府采取的方法并不奇怪,因为它经常表达了对如何抑制执法和影响恐怖主义相关的调查的担忧。
技术行业和政府在加密的激烈争论中被禁止,科技巨头表示,故意弱密加密系统可以为国家对手和黑客提供攻击向量。
默多克写了CESG,了解其设计的含义。有趣的是,“关键托管”短语永远不会用于协议规范。
“这被呈现为一个特征而不是bug,在GCHQ文件中的激励案件是允许公司在调查金融业等不当行为时呼叫雇员呼叫,”他写道。
协议的认可对技术供应商具有广泛影响。默多克写道,英国政府只会证明使用它的语音加密产品。政府的建议也会影响整个行业的采购决策。
因此,Mikey-Sakke在绝大多数分类的U.K.政府语音通信中垄断了垄断,因此开发安全语音通信系统的公司必须实施它以便获得对该市场的访问,“他写道。
GCHA已经在其商业产品保证(CPA)安全评估计划下开始认证产品。批准的产品必须使用Mikey-Sakke,也必须保护合唱,这是一个开放源代码库,可确保不同设备之间的互操作性。