Første brudd på Telenors kryptomonopol

En avtale mellom Sikkerhetsstaben i Forsvarets overkommando og Posten SDS gjør at etater og organisasjoner som er pålagt å bruke den nasjonale kryptoalgoritmen NSK endelig kan velge en annen leverandør enn Telenor.

- Krypteringsalgoritmen er et helnorsk produkt fra Sikkerhetsstaben i Forsvarets overkommando, forteller stabssjef Jan Erik Larsen. - Utviklingen ble påbegynt midt på 1980-tallet og avsluttet i 1991.


Ifølge Datasikkerhetsdirektivet skal all gradert informasjon som overføres elektronisk, først krypteres etter NSK-algoritmen. NSK sto opprinnelig for "norsk standard krypto", men siden Norsk Standard har varemerket "norsk standard" heter den nå "nasjonal sikker krypto". Forsvaret ordner seg selv. Men hittil har alle sivile måttet kjøpe utstyr fra Telenor.

Posten SDS har brukt et år på å få sitt NSK-utstyr godkjent av Sikkerhetsstaben. Forsvaret tillater ikke at NSK realiseres utelukkende som programvare. Algoritmen nedfelles i brikker som plasseres i tjenere i lokalnettet for å kryptere utgående datastrømmer.

Produsenten av NSK-utstyret til Posten SDS er Thomson-CSF Norcom. Dette selskapet har arbeidet med kryptoutstyr siden 1950 og leverer militære kommunikasjonssystemer til forsvaret i Norge og Sverige.
- Denne avtalen gjør at vi kan levere funksjonelle løsninger til en akseptabel pris, sier administrerende direktør Per Andersen i Posten SDS.


- Utstyret Telenor leverer, er betydelig eldre. Siden vi også er godkjent av forvaltningsnettsamarbeidet, har vi et godt
utgangspunkt for å konkurrere.

Verken Andersen eller Larsen vil si noe om hva slags nøkkellengder som anvendes i NSK, annet enn at lengden er tilstrekkelig til å oppnå en tilfredsstillende sikkerhet.
- DES 56-nøkkelen som Datatilsynet krever for overføring av følsom informasjon, er lett å knekke, understreker sjefen for sikkerhetstjenestene i Posten SDS, Gullik Wold. - I motsetning til for eksempel PGP, er NSK underlagt en svært streng evaluering av myndighetene. Den tilbyr sikkerhet på et svært høyt nivå. Myndighetene garanterer også at det ikke finnes noen form for "bakdør".


Datasikkerhetsdirektivet krever at informasjon krypteres i det den overføres. Generering og oppbevaring av gradert informasjon er ikke pålagt kryptering, men er underlagt strenge krav til fysisk sikring.

- Det dreier seg om krav som fysisk tilgang til PC-en der dokumentet skal skrives, sikker lagring av uttakbare harddisker og den slags, sier Larsen.

Tilretteleggingen av NSK for Internett-protokollen innebærer at den kan brukes til å kryptere all slags IP-samband, også tale.

- Det innebærer at vårt NSK-utstyr vil kunne gjøre IP-telefoni absolutt umulig å avlytte, mener Wold.

***

(Se pekerne nedenfor for tidligere artikler fra IT-tinget '99 i Stavanger og andre krypto-artikler)

Til toppen