PSEUDOTVŮRCI VELICE PILNĚ PŘIPRAVUJÍ PLNOST NEGATIVNÍHO STAVU
Jak chce Čína „cenzurovat“ hardware a co to (možná) přinese
6.10.2008
Snahy úřadů Říše středu o kontrolu nad obsahem internetu a komunikace na síti vyvolávají tu a tam v západním světě vášnivé diskuze. Pro IT dodavatele jsou ovšem zajímavější ty aktuální, trochu odlišné snahy čínských úřadů o selekci hardwaru.
Je to vlastně již docela neaktuální zpráva, které si velká média v oblasti informatiky všimla dávno po jejím vydání. Čínské úřady budou od května příštího roku požadovat po výrobcích některých hardwarových zařízení „obchodní informace“, fakticky však zdrojové kódy firmwaru jejich přístrojů. Pokud se výrobci nepodvolí, a požadované informace úřadům nevydají, příslušné zařízení nebude možné prodávat na čínském trhu.
Nařízení se nemá týkat veškeré elektroniky a hardwaru, ale jen těch zařízení, která pracují s „kódováním dat“. Tedy domácích a kancelářských přístrojů jako jsou kopírky, úložná zařízení, smart karty, bezpečnostní tokeny, ale také některých multimediálních přehrávačů, paměťových karet, šifrovacích nástrojů, řídících systémů, bezdrátových zařízení s podporou šifrovaného přenosu a mnoha dalších zařízení. Stručně řečeno; pokud vaše zařízení umí šifrovat a dešifrovat data a vy ho budete chtít prodávat v Číně, pak musíte místním úřadům dát k dispozici jeho firmware v nezkompilované podobě.
Důvodem takového opatření oficiálně je „zabránit rozšiřování počítačových virů a hackerských útoků“. Jeho faktický dopad a možné důsledky si ovšem není obtížné představit. Důležité přitom je, že dalece překračují hranici Číny a čínského trhu s IT technologiemi. Reálně se mohou dotknout nejen zařízení prodávaných v Evropě, ale i jejich koncových uživatelů – nás všech.
Bližší a rozsáhlejší informace k tomuto tématu najdete na webu www.stahuje-cely-svet.cz .
Důsledky
Čínská touha po firmwaru šifrujících zařízení se dá vysvětlit velice jednoduše – a samozřejmě jinak než obavami o zneužití bezpečnostních mezer a šíření počítačových virů. Při analýze kódovaných dat, respektive snaze o jejich rozkódování a monitorování v reálném čase (jinak to při současném stavu globálních komunikací nemá smysl) jsou klíčovým zádrhelem integrovaná zařízení, která zpracovávají data, aniž by bylo možné sledovat jejich činnost. Hardwarově šifrující prostředek, který se vůči svému okolí chová jako black box (něco se uvnitř děje, ale nemáme možnost, jak zjistit co) představují mnohem efektivnější ochranu dat než třeba šifrovací algoritmy, které jsou součástí operačních systémů v počítačích. Aby je politický režim, který sleduje komunikaci svých občanů (a nejen jich) mohl obejít, prostě si od výrobců vyžádá zdrojové kódy s tím, že jinak nebudou moci své výrobky miliardě potenciálních zákazníků distribuovat. Je nepochybné, že velké firmy se budou cukat, a ty menší nařízení obcházet. A stejně tak je
nepochybné i to, že se nakonec většina z nich podvolí, neboť hlas peněz je příliš zvonivý.
Jaké však budou důsledky povinného zveřejnění zdrojových kódů z access pointů a kopírek pro nás, Evropany? Většina výrobků, kterých se čínské nařízení týká, přichází do Evropy z Číny. A většina z nich se prodává i tam, případně se jedná o velmi podobná zařízení s prakticky shodným firmwarem. To, že čínské úřady získají přístup například k šifrovacím mechanismům zálohovacího zařízení samozřejmě neznamená, že by byly schopny dekódovat jeho médium zaznamenané v Evropě, nicméně v případě proprietárních systémů se potenciálně značně zvýší jejich šance na úspěch.
Samotný firmware, respektive jeho předání čínským úřadům, bezpečnost nenarušuje. K tomu je potřeba znát klíče, šifrovací kódy, zkrátka údaje, které nejsou pevně spojeny se zařízením od výrobce, ale tvoří se dynamicky. Samotná znalost například šifrovacího algoritmu pro jeho překonání nestačí. Jenže ne všude je firmware vytvořen tak korektně, aby toto skutečně platilo. Mnoho, zejména laciných zařízení, přesněji jejich výrobců, standardy oddělení klíče a algoritmu nedodržuje. Mnoho z nich nedodržuje ani šifrovací algoritmy a jejich bezpečnost se stává obskurní záležitostí – lze je napadnout, kdyby někdo chtěl.
Představme si, že se firmware například takového přístupového bodu k Wi-Fi dostane do rukou čínské vlády. Nejde o to, že jej využije ke špehování vlastních občanů. Je prakticky pouze otázkou času, kdy jí uteče dál. Do rukou evropských hackerů, útočníků toužících po vybrakování cizích bankovních účtů. Osob parazitujících svými servery rozesílajícími nevyžádanou poštu na cizí konektivitě.
Triviální příklad access pointu je přitom nic ve srovnání s možnostmi, které v tomto směru „nabízí“ systémy nativně vytvořené k ochraně a šifrování dat. Mám tím namysli autentizační tokeny, chytré karty, šifrovací moduly a podobně. I jejich firmware budou muset výrobci čínskému establishmentu předkládat, chtějí-li je pak nabízet jinde. A právě tato skutečnost se, mírně řečeno, nebude líbit jiným vládám – které mohou požadovat, aby se produkty pro ně vyráběly jinde než v Číně.
Řešení
Je zřejmé, že pokud Číňané své nařízení na „cenzuru" hardwaru skutečně uvedou do života, značně tím zahýbají trhem bezpečnostních produktů. Jejich snaha se nelíbí řadě lidí, nejen místním disidentům. Současně je ale třeba říct, že přináší také jedno možné plus.
Úplně totiž stačí, aby klíčové bezpečnostní systémy byly založeny kompletně na systému dynamických klíčů a současně jejich firmware pracoval jako opensource. Čínští úředníci by se tak mohli uspokojit, a bezpečnost uživatelů by zůstala zachována.
Drakonický pokus o sledování komunikace by tak ve skutečnosti mohl zajištění dat spíše prospět, než ublížit. Zodpovědnost za kvalitu zajištění by se přesunula ze strategie utajení do sféry kvality kódu – kam beztak v dnešním světě patří. Čínští cenzoři by tak paradoxně mohli být nejen svým občanům, ale i zbytku světa užiteční. Je ovšem obtížné si představit, kolik by takový, vrtochy vládnoucích elit motivovaný, krok k bezpečnosti některé pohodlné výrobce stál.
7000 stran textů a 5000 obrázků o Vesmírných lidech Sil Světla najdete zde: