Simplemente como un asunto técnico, ¿es posible hacer implementaciones de cifrado de otra manera que contengan puertas traseras gubernamentales?

Claro. El depósito de claves funciona, y se entiende bien.

RSA ofreció una versión con su versión "empresarial" de PGP 6.0 hace aproximadamente 20 años. PGP utiliza cifrado híbrido, donde el mensaje se cifra con un cifrado simétrico y la clave del cifrado simétrico se cifra con una clave pública del destinatario. Su bloque de claves admite el cifrado de la clave simétrica con varias claves públicas, lo que permite que múltiples destinatarios no compartan una clave privada.

En ese producto, se implementó el depósito de claves con la introducción de una clave simétrica cifrada con clave pública adicional, donde el propietario del sistema PGP tenía la clave privada. Se creó aparentemente para las empresas que podrían necesitar descifrar un mensaje si el empleado legítimo estaba incapacitado o despedido. (La versión anterior sufrió una terrible vulnerabilidad porque el bloqueo de la clave no estaba protegido por un MAC, y un tercero malintencionado podría agregar silenciosamente su propia clave de custodia).

Suponiendo que podría imponer el depósito de claves a un organismo de estándares, sería posible crear un protocolo seguro que podría ser descifrado tanto por el sitio legítimo como por el titular de la clave privada. El uso de la custodia de claves podría ser implementado por dispositivos de seguridad de red ubicados en la red troncal, que podrían denegar las comunicaciones a menos que vieran una firma digital en el paquete de intercambio de claves que indicara que las claves de custodia de claves estaban en su lugar. Los productos como snort ya funcionan así hoy; solo necesitarían la información de firma del protocolo legítimo, y luego podrían enviar un paquete RST a cualquier intercambio de claves SSL o TLS que no cumpla.

El diablo estaría en los detalles, sin embargo. Nada detendría el doble cifrado, porque a los dispositivos de seguridad de red no se les podían confiar las claves necesarias para descifrar los paquetes para inspeccionarlos profundamente. Nada puede evitar la señalización preestablecida fuera de banda, como "una imagen de una tetera en el lado izquierdo de la mesa significa 'ataque al amanecer'". Intercambios de llaves a medida que no son detectables, ya que TLS iría y se iría a la velocidad de la luz. Darknet VPNs mostraría mensajes de enrutamiento alrededor de los firewalls federales. Los mecanismos de comunicaciones esteganográficas incrustarían mensajes ilícitos en flujos de videos de gatos y solicitudes de ping ICMP. La gestión y distribución de llaves sería una pesadilla. E imagina lo que pasaría con la seguridad de la nación si Edward Snowden Jr. decidiera publicar la clave maestra de la NSA, o si Robert Hansen Jr. entregaba la copia del FBI a los rusos.

Tales medidas pueden hacer que sea más difícil para las personas comunes usar el cifrado no predeterminado, y pueden exponer sus iMessages a la NSA de forma regular, pero apenas desacelerarán a las organizaciones criminales o terroristas. Y serían desafiados en la corte de inmediato: obligar a los usuarios a agregar el depósito de claves sería equivalente al discurso convincente del gobierno, que está prohibido por la Constitución en los EE. UU.

No solo es posible, sino que sabemos que se ha hecho antes. Específicamente, el algoritmo Dual_EC_DRBG que se ha analizado ad naseum en los últimos años, es un ejemplo de un algoritmo criptográfico fuerte < a href="http://arstechnica.com/security/2015/01/nsa-official-support-of-backdoored-dual_ec_drbg-was-regrettable/"> que se ha confirmado que contiene una puerta trasera NSA que permite que la NSA (y solo la NSA) "rompa completamente cualquier instanciación de Dual_EC_DRBG".

Para citar de la entrada de Wikipedia:

  

Una de las debilidades identificadas públicamente fue el potencial del algoritmo para albergar una puerta trasera ventajosa para los diseñadores del algoritmo, la Agencia de Seguridad Nacional (NSA) del gobierno de los Estados Unidos, y nadie más. En 2013, The New York Times informó que los documentos en su poder pero que nunca se entregaron al público "parecen confirmar" que la puerta trasera era real, y que la NSA había insertado deliberadamente como parte del programa de descifrado Bullrun de la NSA.

Para obtener una mejor descripción de la naturaleza de esta puerta trasera, le indicaré un publicación de blog por Bruce Schneier en 2007 :

  

En una presentación informal (.pdf) en la conferencia CRYPTO 2007 en agosto, Dan Shumow y Niels Ferguson demostró que el algoritmo contiene una debilidad que solo se puede describir como una puerta trasera.

     

Así es como funciona: hay un montón de constantes (números fijos) en el estándar utilizado para definir la curva elíptica del algoritmo. Estas constantes se enumeran en el Apéndice A de la publicación NIST, pero en ninguna parte se explica de dónde provienen.

     

Lo que mostraron Shumow y Ferguson es que estos números tienen una relación con un segundo conjunto secreto de números que pueden actuar como una especie de llave maestra. Si conoce los números secretos, puede predecir la salida del generador de números aleatorios después de recopilar solo 32 bytes de su salida. Para expresarlo en términos reales, solo necesita supervisar una conexión de cifrado de Internet TLS para romper la seguridad de ese protocolo. Si conoce los números secretos, puede romper completamente cualquier instanciación de Dual_EC_DRBG.

     

Los investigadores no saben cuáles son los números secretos. Pero debido a la forma en que funciona el algoritmo, la persona que produjo las constantes podría saberlo; Tuvo la oportunidad matemática de producir las constantes y los números secretos en tándem.