Ci sono prove di backdoor in Windows o altri software client per la NSA/CIA?

Sì. Il Malicious Removal Tool di Microsoft soddisfa la definizione diffusa di backdoor. Ce ne sono altri, ma tutti quelli che ne sono a conoscenza sono sotto NDA.

Microsoft ha anche dovuto rivelare il codice sorgente a diversi governi stranieri per rimanere in conformità con le leggi per l'importazione e la vendita di software Microsoft in alcune giurisdizioni. Ci sono stati problemi di sicurezza relativi al codice che è stato rilasciato. Specialmente in relazione alla Cina.

Ci sono backdoor che sono state date alle forze dell'ordine locali. Queste di solito sono trapelate rapidamente. Poi ci sono backdoor date ai governi, queste raramente trapelano e rimangono fuori dai documenti del tribunale e dai registri pubblici. Queste back doors rientrano nelle disposizioni di "sicurezza naturale" sulla privacy.

Alcuni paesi hanno leggi particolarmente forti che regolano la crittografia. Per operare in Cina Microsoft deve soddisfare certi requisiti. È opinione diffusa che Microsoft sia obbligata a rivelare le chiavi private per i certificati di firma per le patch del software Microsoft al governo della Repubblica Popolare Cinese secondo le leggi cinesi sulla crittografia.

Questo costituisce una back door in quanto permette al governo cinese di creare patch binarie arbitrarie per i prodotti software Microsoft e firmare gli aggiornamenti del software Microsoft. La Cina ha anche un forte controllo sui suoi server DNS e può reindirizzare le richieste al server delle patch Microsoft ai server controllati dal governo e applicare patch binarie arbitrarie al software Microsoft.

Diverse giurisdizioni richiedono che le chiavi primarie siano registrate con il governo per soddisfare i requisiti normativi. Negli Stati Uniti è probabile che Microsoft sia stata costretta, volontariamente o per ordine del tribunale, a rivelare le chiavi private per la firma dei certificati per le patch del software.

Ci sono anche altri problemi. Ci sono anche problemi con Linux.

Fondamentalmente, se c'è qualcosa che non volete che qualcun altro sappia

• non trasmettete dati su internet
• utilizzate le one time pads
• fascino tutte le risorse di calcolo
• pentole + root kit + packet sniffers
• misure di sicurezza fisica

Se siete davvero paranoici, potreste anche volere una gabbia di Faraday
Vedi: http://en.wikipedia.org/wiki/TEMPEST

Anche in questo caso, non sei al sicuro contro gli ordini del governo. È molto improbabile che la privacy dei vostri dati sia preservata contro un attacco mirato di un governo straniero. Dovete anche preoccuparvi che qualcuno esegua una crittoanalisi con il tubo di gomma sui vostri dipendenti. Questo è dove si verifica la maggior parte delle fughe di notizie.

http://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis

"il Regno Unito's RIP Act, rende un crimine non consegnare le chiavi di crittografia su richiesta di un funzionario governativo autorizzato dalla legge - indipendentemente dal fatto che ci siano o meno motivi ragionevoli per sospettare che i dati crittografati contengano materiale illegale."