Andrew Fernandes, sikkerhetsekspert i det canadiske selskapet Cryptonym Corporation, har angivelig avdekket det han kaller en bakdør inn til Windows, hvor amerikanernes spionbyrå, National Security Agency (NSA), kan være den tredjepart som sitter på nøkkelen.
Det har lenge vært spekulert i at Microsoft har latt NSA få legge inn det de behøvde for å overvåke og spionere kloden rundt, men det har aldri vært mulig å bevise det. Spekulasjonene har blant annet fått næring av det faktum at det i alle Windows-versjoner ligger minst to kryptonøkler, mens det strengt tatt bare skulle være bruk for én - for Microsoft og Windows selv. Spekulasjonene har gått på hvem som sitter på den andre nøkkelen, og den heteste kandidaten har vært NSA.
- Ryktene om dette har gått i mange år, sier sikkerhetsekspert Stein A Møllerhaug til digi.no. - Ryktene har gått, men det har aldri vært mulig å bevise noenting som helst. Ingen legger imidlertid skjul på at det er en del av den nasjonale sikkerhetspolitikken til USA å gjøre det så vanskelig som mulig for andre land å bruke de sterkeste formene for kryptering.
_logo.svg.png){kind=logo}
På en web-side hos arbeidsgiveren beskriver Fernandes funnet som han hevder er en bakdør inn til Windows, enten det er Windows 95, 98, NT eller det kommende Windows 2000.
Det viktigste funnet hans er imidlertid navnet på variabelen - _NSAKEY.
Les bakgrunnsartikkel om krypteringshullene i Windows:
Windows gir deg kryptering med handicap
- Dette er en sterk indikasjon på at det er NSA som står bak, sier Fernandes i et telefonintervju med digi.no.
Han forteller at han fant ut av dette ved en tilfeldighet og understreker at det ikke er en enkel bakdør å forholde seg til.
- Det gjør det ikke enkelt å bryte seg inn i Windows, men det gjør det enklere enn før, sier han, men legger til at:
- De gode nyhetene er at nå kan alle stenge NSA ute.
Han har nemlig funnet ut at Microsoft har introdusert en feil i den måten kryptoverifiseringen foregår. Måten det er gjort på, gjør at brukeren enkelt kan fjerne eller bytte ut NSA-nøkkelen fra operativsystemet. Det betyr at ikke-amerikanske selskap nå fritt kan installere sterk kryptering sømløst i Windows, uten godkjennelse fra NSA eller Microsoft.
For enhver norsk IT-sjef vil imidlertid dette være ren ønsketenkning. Rent bortsett fra at Microsoft ville anse det som et brudd på lisensavtalen dersom du hacket deg inn i koden etter Fernandes metoder, er nok ikke det politiske Bondevik-klimaet klart for å akseptere at spionene til Clinton stenges ute. Da blir nok metodene mer populære i Moskva og Beijing.
- Er ikke dette ulovlig der du befinner deg, samt et brudd på lisensavtalen?, spør digi.no Fernandes.
- Nei - det er "forskning og utvikling". Jeg er veldig nøye på at jeg ikke selger programvaren, men til enhver tid omtaler det som et utviklingsprosjekt, sier Fernandes, som heller ikke er redd for at NSA skal ta ned web-siten hans.
- Jeg er for høyt profilert til det nå. Jeg har tredve meldinger på voice-mailen min, og web-siten har fått 30.000 hits den siste timen. Du var faktisk utrolig heldig som kom gjennom på telefonen.
Fernandes presenterte funnene sine allerede den 15. august, på en konferanse i Santa Barbara, men har holdt en lav profil: - Jeg ville gjøre ferdig programmet som viste at hypotesen min var riktig før jeg offentliggjorde funnene, sier han.
Det gjorde han i dag.
