'Als Apple zegt dat de FBI Apple probeert te dwingen een backdoor in te bouwen in zijn producten, zegt het eigenlijk dat de FBI Apple probeert te dwingen een backdoor te gerbuiken die al bestaat.'

Dat betoogt Leif Ryge, artiest, hacker en journalist te Berlijn, in een bijdrage op Ars Technica. In alle opwinding over de strijd tussen Apple en de FBI ziet bijna iedereen volgens hem één feit over het hoofd: de ultieme backdoor bestaat al, en we noemen 'em software update. Software-ontwikkelaars doen in veel gevallen pas enkele jaren pogingen om de authenticiteit van updates van hun software te waarborgen en zelfs in gevallen waar men daar al decennia werk van maakt, zijn er in de meeste gevallen 'verwoestende single points of failure', aldus Ryge.

In de meer geavanceerde methoden van beveiliging van updates zullen meerdere sleutels nodig zijn om een update te valideren maar omdat die sleutels gecontroleerd worden door één bedrijf, of zelfs één persoon, vormen die toch een 'single point of failure', meent Ryge.  

Deze kwetsbaarheid is een combinatie van naïviteit en overmoed, vermoedt Ryge. Softwareontwikkelaars dachten dat ze hun sleutels geheim konden houden tegen realistisch geachte aanvallen, en waren er niet op bedacht dat hun overheden hun zouden kunnen dwingen om updates te ondertekenen met kwaadaardige inhoud. In die zin moeten we de FBI dankbaar zijn dat deze ons gewezen heeft op dit gevaar, stelt Ryge. Want wat de overheid langs wettelijke weg kan proberen af te dwingen, kunnen criminele organisaties natuurlijk ook proberen te doen door mensen bij de softwarebedrijven onder druk te zetten.

Wat softwarebedrijven moeten doen stelt Ryge: zorg dat voor het valideren van een update meerdere sleutels nodig zijn waarvan de zeggenschap verdeeld is over mensen die niet onder hetzelfde rechtssysteem vallen. 

Alles bij de bron; AutomGids