Dane z BES są (i pozostaną) bezpieczne

Piotr Barycki
13.08.2011

Po ostatnich zamieszkach w Anglii i udostępnieniu przez Research In Motion danych ich uczestników brytyjskim władzom, coraz częściej zaczęły pojawiać się opinie, że BlackBerry, jako biznesowe narzędzie zapewniające pełną poufność i bezpieczeństwo danych jest już skończone. Jak bowiem firmy, które wyposażają setki swoich pracowników w terminale z jeżyną w logo mogą polegać na rozwiązaniu, którego producent może w każdej chwili odszyfrować zakodowane dane i przekazać je organizacjom rządowym? Problem w tym, że… nie może.

Na samym początku należy wyraźnie zaznaczyć jedno: pomiędzy BIS a BES różnica to o wiele więcej niż jedna literka w skrócie i kilkadziesiąt złotych w miesięcznym abonamencie. W praktyce, obydwie te usługi dzieli gigantyczna przepaść, zarówno jeśli chodzi o bezpieczeństwo przesyłanych informacji, ich kodowanie, oraz sposób dostarczania ich do urządzeń. W związku z tym, ogromna równica dzieli BIS i BES pod względem tego, co RIM może a czego nie.

BlackBerry Internet Service – diagram uproszczony

Różnice można dostrzec już na pierwszy rzut oka, porównując dwa przedstawione powyżej schematy – pierwszy z nich dotyczy BlackBerry Enterprise Server, natomiast drugi z nich – BlackBerry Internet Service. BES, z wykorzystaniem 3DES lub AES szyfruje wszystkie wiadomości wysyłane za pośrednictwem naszego serwera pocztowego, po czym dopiero w tej formie przesyła je dalej w świat – przez firewall, internet, sieć operatora (w ramach dedykowanego APN) i na samym końcu do odpowiednich terminali. Warto zwrócić uwagę na niewielki symbol kłódki na diagramie oraz miejsce, w którym się znajduje – przy serwerze BES i (dopiero) przy terminalu BlackBerry. Przez całą pozostałą drogę informacje znajdują się w formie niemożliwej do rozszyfrowania.

Oczywiście wiadomości w teorii muszą przejść również przez tzw. NOC (Network Operation Center) należący do RIM i tam teoretycznie można by upatrywać miejsca, gdzie Kanadyjczycy mogli by próbować rozszyfrować nasze maile czy inne wiadomości. Okazuje się jednak, że nie – dostając się do NOC, wszystkie informacje są w dalszym ciągu zaszyfrowane i dopiero na przypisanym do odpowiedniego BES terminalu może się rozpocząć ich rozszyfrowanie. Można by spytać: „skoro RIM jest producentem BES, prawdopodobnie posiada on odpowiedni klucz uniwersalny?”. Odpowiedź na to pytanie jest jednak prosta:

Nie istnieje klucz uniwersalny dla wiadomości przesyłanych za pomocą BlackBerry Enterprise Server.

Tak, właśnie z tego powodu w ciągu ostatnich kilkunastu miesięcy Research In Motion borykał się z problemami na Bliskim Wschodzie, gdzie władze niektórych państw domagały się dostępu do rozkodowanych wiadomości przesyłanych przez BES. RIM odpowiedział zgodnie z prawdą, że niestety nie jest to technicznie możliwe, a architektura rozwiązania nie ulegnie żadnym zmianom.

Biznes, wykorzystujący do swoich potrzeb BES może więc spać spokojnie – jego wiadomości w dalszym ciągu znajdują się poza zasięgiem Research In Motion i nawet naciski ze stron władz państw nie mogą tego zmienić. Najlepszym tego przykładem są Zjednoczone Emiraty Arabskie, które gdy zrozumiały ten fakt, zdecydowały się po prostu… ograniczyć dostępność tego rozwiązania wyłącznie dla tych, który faktycznie go potrzebują.

W przypadku BIS sytuacja prezentuje się jednak nieco inaczej. Tutaj nie mamy już po pierwsze do czynienia z tak silnym ciągiem zabezpieczeń, a po drugie szyfrowane wiadomości z BBM i PIN są w teorii możliwe do odkodowania przez Research In Motion (co nie oznacza jednak, że robi to cały czas). Również i tu potwierdza to nie tylko przypadek brytyjski, ale i również wcześniejsze decyzje i deklaracje, dotyczące m.in. Indii. O ile więc kanadyjski producent niezbyt chętnie idzie na taką współpracę z władzami państw, o tyle należy mieć świadomość, że istnieje taka techniczna możliwość.

Czy więc ostatnie posunięcia RIM w „brytyjskiej aferze BBM” wpłyną w jakikolwiek sposób na postrzeganie terminali BlackBerry i BES jako rozwiązania całkowicie bezpiecznego i godnego zaufania? Tak, ale tylko pod warunkiem, że działy IT tych firm będą swoją wiedzę opierały na doniesieniach z popularnych portali ogólnoinformacyjnych, a nie na szczegółowej analizie.

  • schahna

    Jest plus zamieszek w Anglii i tego że ludzie korzystali z BBM. Trochę osób dowiedziało się o BB. Wprawdzie w dość niemiłych okolicznościach ale zawsze.

  • A mi sie podoba 🙂 Sam korzystam z BES i jestem zadowolny.

  • Seba

    Czy aby na pewno BBM u|ywa unikalnego klucza szyfrowania? Jak dobrze pamitam moje wnikanie w temat to aby u|ytkownicy BBM mogli ze sob rozmawia bez wzgldu na to kim s i jak s podpici (BIS czy BES), wymagany byB wspólny klucz szyfrowania. Wobec tego, dla RIMu nie bdzie to zagadk, a biorc pod uwag, |e wszystko leci przez ich NOC to moim zdaniem jest do odczytania.

  • Seba

    ps. przepraszam za kodowanie znakow….

  • Ja osobiście nie wierzę w to, że czegoś się nie da. Szkoda tylko, że BIS poległ tak szybko. W rozmowie z kilkoma osobami na temat zalet BB to własnie szyfrowanie BIS było duzym argumentem przeciwko moim. Okazuje się jednak, że to co wiele osób chwali jest picem na wodę.

    BIS można odszyfrować – wystarczy odpowiedni nacisk odpowiednich osób. Z BES może tak łatwo nie jest, ale też obstawiam, że dla chcącego nic trudnego.