Dane z BES są (i pozostaną) bezpieczne

Avatar
Piotr Barycki
13.08.2011

Po ostatnich zamieszkach w Anglii i udostępnieniu przez Research In Motion danych ich uczestników brytyjskim władzom, coraz częściej zaczęły pojawiać się opinie, że BlackBerry, jako biznesowe narzędzie zapewniające pełną poufność i bezpieczeństwo danych jest już skończone. Jak bowiem firmy, które wyposażają setki swoich pracowników w terminale z jeżyną w logo mogą polegać na rozwiązaniu, którego producent może w każdej chwili odszyfrować zakodowane dane i przekazać je organizacjom rządowym? Problem w tym, że… nie może.

Na samym początku należy wyraźnie zaznaczyć jedno: pomiędzy BIS a BES różnica to o wiele więcej niż jedna literka w skrócie i kilkadziesiąt złotych w miesięcznym abonamencie. W praktyce, obydwie te usługi dzieli gigantyczna przepaść, zarówno jeśli chodzi o bezpieczeństwo przesyłanych informacji, ich kodowanie, oraz sposób dostarczania ich do urządzeń. W związku z tym, ogromna równica dzieli BIS i BES pod względem tego, co RIM może a czego nie.

BlackBerry Internet Service – diagram uproszczony

Różnice można dostrzec już na pierwszy rzut oka, porównując dwa przedstawione powyżej schematy – pierwszy z nich dotyczy BlackBerry Enterprise Server, natomiast drugi z nich – BlackBerry Internet Service. BES, z wykorzystaniem 3DES lub AES szyfruje wszystkie wiadomości wysyłane za pośrednictwem naszego serwera pocztowego, po czym dopiero w tej formie przesyła je dalej w świat – przez firewall, internet, sieć operatora (w ramach dedykowanego APN) i na samym końcu do odpowiednich terminali. Warto zwrócić uwagę na niewielki symbol kłódki na diagramie oraz miejsce, w którym się znajduje – przy serwerze BES i (dopiero) przy terminalu BlackBerry. Przez całą pozostałą drogę informacje znajdują się w formie niemożliwej do rozszyfrowania.

Oczywiście wiadomości w teorii muszą przejść również przez tzw. NOC (Network Operation Center) należący do RIM i tam teoretycznie można by upatrywać miejsca, gdzie Kanadyjczycy mogli by próbować rozszyfrować nasze maile czy inne wiadomości. Okazuje się jednak, że nie – dostając się do NOC, wszystkie informacje są w dalszym ciągu zaszyfrowane i dopiero na przypisanym do odpowiedniego BES terminalu może się rozpocząć ich rozszyfrowanie. Można by spytać: „skoro RIM jest producentem BES, prawdopodobnie posiada on odpowiedni klucz uniwersalny?”. Odpowiedź na to pytanie jest jednak prosta:

Nie istnieje klucz uniwersalny dla wiadomości przesyłanych za pomocą BlackBerry Enterprise Server.

Tak, właśnie z tego powodu w ciągu ostatnich kilkunastu miesięcy Research In Motion borykał się z problemami na Bliskim Wschodzie, gdzie władze niektórych państw domagały się dostępu do rozkodowanych wiadomości przesyłanych przez BES. RIM odpowiedział zgodnie z prawdą, że niestety nie jest to technicznie możliwe, a architektura rozwiązania nie ulegnie żadnym zmianom.

Biznes, wykorzystujący do swoich potrzeb BES może więc spać spokojnie – jego wiadomości w dalszym ciągu znajdują się poza zasięgiem Research In Motion i nawet naciski ze stron władz państw nie mogą tego zmienić. Najlepszym tego przykładem są Zjednoczone Emiraty Arabskie, które gdy zrozumiały ten fakt, zdecydowały się po prostu… ograniczyć dostępność tego rozwiązania wyłącznie dla tych, który faktycznie go potrzebują.

W przypadku BIS sytuacja prezentuje się jednak nieco inaczej. Tutaj nie mamy już po pierwsze do czynienia z tak silnym ciągiem zabezpieczeń, a po drugie szyfrowane wiadomości z BBM i PIN są w teorii możliwe do odkodowania przez Research In Motion (co nie oznacza jednak, że robi to cały czas). Również i tu potwierdza to nie tylko przypadek brytyjski, ale i również wcześniejsze decyzje i deklaracje, dotyczące m.in. Indii. O ile więc kanadyjski producent niezbyt chętnie idzie na taką współpracę z władzami państw, o tyle należy mieć świadomość, że istnieje taka techniczna możliwość.

Czy więc ostatnie posunięcia RIM w „brytyjskiej aferze BBM” wpłyną w jakikolwiek sposób na postrzeganie terminali BlackBerry i BES jako rozwiązania całkowicie bezpiecznego i godnego zaufania? Tak, ale tylko pod warunkiem, że działy IT tych firm będą swoją wiedzę opierały na doniesieniach z popularnych portali ogólnoinformacyjnych, a nie na szczegółowej analizie.