Bullrun (стилизовано под BULLRUN ) - это подпольная, строго засекреченная программа для взлома шифрования онлайн-коммуникаций и данных, которой управляет Агентство национальной безопасности США (АНБ). В британском правительственном управлении связи (GCHQ) есть аналогичная программа под кодовым названием Edgehill . Согласно руководству по классификации BULLRUN, опубликованному The Guardian, программа использует несколько методов, включая использование компьютерных сетей, запрет, отраслевые отношения, сотрудничество с другими разведывательным сообществом организациями., и передовые математические методы.
Информация о существовании программы была слита в 2013 году Эдвардом Сноуденом. Хотя документы Сноудена не содержат технической информации о точных криптоаналитических возможностях, поскольку у Сноудена не было разрешенного доступа к такой информации, они все же содержат презентацию 2010 GCHQ, в которой утверждается, что «огромные объемы зашифрованных данных в Интернете, которые хранятся до теперь были отброшены, теперь можно использовать ". Некоторые технические детали программы, обнаруженные в документах Сноудена, были дополнительно подвергнуты цензуре прессой по указанию сотрудников американской разведки. Из всех программ, которые были допущены Сноуденом, программа дешифрования Bullrun является самой дорогой. Сноуден утверждает, что с 2011 года расходы на Bullrun составили 800 миллионов долларов. Просочившиеся документы показывают, что Bullrun стремится «победить шифрование, используемое в определенных сетевых коммуникационных технологиях».
Согласно руководству по классификации BULLRUN Агентства национальной безопасности, BULLRUN не является элементом управления конфиденциальной комментированной информации (SCI) системы или отсека, но кодовое слово должно быть показано в строке классификации после всех остальных отметок классификации и распространения. Более того, любые подробности о конкретных криптографических успехах рекомендовалось дополнительно ограничить (помимо пометки Совершенно секретно //SI ) метками Исключительно контролируемая информация ; неисключительный список возможных меток BULLRUN ECI был дан как: APERIODIC, AMBULANT, AUNTIE, PAINTEDEAGLE, PAWLEYS, PITCHFORD, PENDLETON, PICARESQUE и PIEDMONT без каких-либо подробностей относительно того, что означают эти метки.
Доступ к программа ограничена группой высокопоставленных сотрудников Five Eyes (FVEY), АНБ и служб разведки Соединенного Королевства (GCHQ ), Канада (CSE ), Австралия (ASD ) и Новая Зеландия (GCSB ). Сигналы, которые не могут быть расшифрованы с помощью современных технологий, могут храниться на неопределенный срок, пока агентства продолжают попытки их расшифровать.
Через разработанный АНБ чип Clipper, который использовал шифр Skipjack с намеренным бэкдором и различные специально разработанные законы, такие как Ограничения CALEA, CESA и на экспорт программного обеспечения для шифрования, о чем свидетельствует дело Bernstein v. United States, правительство США публично пыталось в 1990-х годах обеспечить его доступ к коммуникациям и возможность дешифрования. В частности, такие технические меры, как условное депонирование ключа, эвфемизм для бэкдора, не встретили критики и не имели большого успеха.
АНБ поощряет производителей технологий безопасности раскрывать лазейки для своих продуктов или ключей шифрования, чтобы они могли получить доступ к зашифрованным данным. Однако, опасаясь широкого распространения шифрования, АНБ намеревалось незаметно повлиять на стандарты шифрования и ослабить их, а также получить главные ключи - либо по соглашению, либо в силу закона, либо путем использования компьютерных сетей (взлом ).
Согласно Bullrun информационного документа, агентство успешно проникло как в Secure Sockets Layer, так и в некоторые виртуальные частные сети (VPN). New York Times сообщила, что: «Но к 2006 году АНБ В документе отмечается, что агентство взломало связь с тремя иностранными авиакомпаниями, одной системой бронирования авиабилетов, ядерным департаментом одного иностранного правительства и интернет-службой другого, взломав виртуальные частные сети, которые их защищали. К 2010 году программа Edgehill, усилия Великобритании по борьбе с шифрованием, дескремблировал трафик VPN для 30 целей и поставил цель получить еще 300 ».
В рамках Bullrun АНБ также активно работало над« вставкой уязвимостей в систему коммерческого шифрования. основы, ИТ-системы, сети и устройства связи конечных точек, используемые целями ". New York Times сообщила, что генератор случайных чисел Dual_EC_DRBG содержит лазейку, которая позволит АНБ взламывать ключи шифрования, генерируемые генератором случайных чисел. Несмотря на то, что этот генератор случайных чисел был известен как небезопасный и медленный вскоре после публикации стандарта, а потенциальный бэкдор NSA клептографический был обнаружен в 2007 году, в то время как альтернативные генераторы случайных чисел без этих недостатков были сертифицированы и широко доступны, RSA Security продолжал использовать Dual_EC_DRBG в инструментарии BSAFE и Data Protection Manager компании до сентября 2013 года. Хотя RSA Security отрицает намеренное внедрение бэкдора в BSAFE, он пока не дано объяснение продолжающегося использования Dual_EC_DRBG после того, как его недостатки стали очевидны в 2006 и 2007 годах. 20 декабря 2013 года стало известно, что RSA приняла платеж в размере 10 миллионов долларов от АНБ за установку генератора случайных чисел по умолчанию. В просочившихся документах АНБ говорится, что их усилия были «вызовом изящества» и что «в конце концов, N.S.A. стал единственным редактором »стандарта.
К 2010 году просочившиеся документы утверждают, что АНБ разработало« новаторские возможности »против зашифрованного интернет-трафика. В документе GCHQ, однако, содержится предупреждение: «Эти возможности являются одними из самых хрупких для сообщества SIGINT, и непреднамеренное раскрытие простого« факта »может предупредить противника и привести к немедленной потере этих возможностей». В другом внутреннем документе говорилось, что «НЕ БУДЕТ« знать ». Несколько экспертов, в том числе Брюс Шнайер и Кристофер Согоян, предположили, что успешный атака против RC4, алгоритма шифрования, используемого в то время как минимум в 50% всего трафика SSL / TLS, была вероятным путем, учитывая несколько общеизвестных слабых мест RC4. Другие предположили, что АНБ получило возможность взламывать 1024-битные ключи RSA /DH. С тех пор RC4 был запрещен для всех версий TLS RFC 7465 в 2015 году из-за атак RC4, ослабляющих или нарушающих RC4, используемых в SSL / TLS.
После разоблачений BULLRUN некоторые проекты с открытым исходным кодом, в том числе FreeBSD и OpenSSL, столкнулись с увеличением своего сопротивления (полностью) доверять аппаратным криптографическим примитивам.
Многие другие программные проекты, компании и организации ответили повышением оценки своих процессов безопасности и шифрования. Например, Google удвоил размер своих сертификатов TLS с 1024 бит до 2048 бит.
Разоблачение бэкдоров АНБ и целенаправленное усложнение стандартов привело к негативной реакции в их участии в органах стандартизации. До разоблачений присутствие АНБ в этих комитетах рассматривалось как преимущество, учитывая их опыт работы с шифрованием.
Были предположения, что АНБ знало об ошибке Heartbleed, которая вызвала серьезные веб-сайты, чтобы быть уязвимыми для кражи паролей, но не раскрывали эту информацию, чтобы использовать ее сами.
Название «BULLRUN» было взято из Первой битвы при Булле Run, первое крупное сражение Гражданской войны в США. Его предшественник «Манассас» является альтернативным названием битвы и местом, где она происходила. "EDGEHILL" взят из Битвы при Эджхилле, первого сражения Гражданской войны в Англии.