Windows gir deg kryptering med handicap

I USA er det nasjonal sikkerhetspolitikk å utnytte den sterke globale posisjonen til landets programvareindustri til å pådytte resten av verden sikkerhetsbegrensninger. Hemmelighetsfulle NSA står bak, og mye tyder på at Microsoft løper spionorganisasjonens ærend.

Det er en kjent sak at sikkerheten i Microsofts produkter er langt fra det en bekymret bruker kunne ønske seg. De gapende hullene i HotMail som ble avdekket tidligere denne uken er bare én - og den så langt mest alvorlige - episoden i en lang serie av avsløringer som må være forferdelig pinlige for Bill Gates & co.


Les den opprinnelige nyheten:
NSA har nøkkel til bakdør til Windows? digi.no i eksklusivt intervju med canadieren som fikk Microsoft og NSA ut av skapet


Nå kommer altså enda en avsløring, en avsløring som indikerer at Microsoft faktisk er i lomma på National Security Agency (NSA).

Utgangspunktet for hele problematikken er at Microsoft i standardversjonene ikke har bygget inn særlig med sikkerhet i Windows. I sitt standardoppsett er operativsystemet etter alle praktiske formål vidåpent for hackere og crackere med et minimum av kunnskap. For å få en noenlunde sikker bruk av systemet, må det installeres ekstra programvare eller fysisk sikring.

En type programvare som kan installeres er krypteringsprogrammer.

Du kan få tak i glimrende krypteringsprogramvare fra en rekke kilder. Problemet er at du med de fleste av dem må kjøre den krypterte filen gjennom programmet hver gang. De fleste ser fordelen med å åpne en fil direkte i Windows - la Windows dekryptere, og gjerne spørre etter et passord, - for deretter å la deg behandle filen som om ingenting var skjedd. Da slipper du å kjøre for eksempel Word-filer og Excel-regneark gjennom krypteringsprogrammet hver gang du skal jobbe med dem, og samme vei tilbake når du er ferdig med dem.

Det du ønsker er en sømløs integrasjon med Windows. Vil du ha det, må Windows-operativsystemet godkjenne krypteringsprogramvaren din og jobbe sammen med den. Det er her den ene kryptonøkkelen man finner i Windows kommer inn. Et slikt program får du ikke fra andre enn produsenter godkjent av Microsoft.

Microsoft på sin side kan ikke og vil ikke godkjenne leverandører som ikke NSA godkjenner. NSA aksepterer på sin side ikke at noen utenfor USA og uten tillatelse fra dem bruker såkalt sterk kryptering, hvilket i dag innebærer en bitlengde på 56 bits eller mer. Hva som er sterk og svak kryptering er det NSA som avgjør, og det avhenger helt og holdent av hvor sterk krypteringen må være før de får seriøse problemer med å knekke kodene i sine egne datamaskiner.

Det virker som om det er OK at spennende kilder i andre land gir dem noen utfordringer på krypteringssiden, bare det ikke blir for tøft: For det var vel ingen skikkelig spionhemmelighet hvis det ikke var en hemmelighet som var vanskelig å få tak i, og som helst bare amerikanerne visste om. Hvis krypteringen er for svak, så vet jo alle lands sikkerhetsorganisasjoner det. Blir den for sterk, blir det for mye bry. Per i dag er altså 56 bit åpenbart det mest optimale.

Selv med et verdenspoliti som USA er det ikke alltid like lett å passe på at alle innbyggere er snille. Krypteringsprogramvare finnes det masse av. Det gjelder å gjøre det maksimalt upraktisk å bruke annen kryptering enn den som Microsoft og NSA sammen har kontrollen over.

Selv om mange har hatt sterke mistanker om at Microsoft og NSA går hånd i hånd, har ingen kunnet bevise det, selv ved å se på koden til krypterings-API'et i Windows. Ikke før nå: I Windows NT Servicepack 5 hadde programmererne glemt å endre navnet på en variabel som i andre versjoner av programvaren ikke er lagret i en symbolsk variabel, kun som en hard-kodet verdi. Navnet viser seg å være _NSAKEY.

Oops. Tabbe igjen, Bill. Programmerere er ofte direkte og rasjonelle i sin tankegang, og er variabelen en nøkkel beregnet på NSA er intet mer naturlig for en programmerere enn å navnvgi den _NSAKEY.

- Det er klart at navnet på en variabel ikke er et bevis, men i kryptosammenheng har ikke forkortelsen NSA noen som helst annen betydning enn National Security Agency, understreker Andrew Fernandes til digi.no.

Fernandes er sikkerhetseksperten som hevder at NSA og Microsoft har en hemmelig allianse.

Her har altså Fernandes funnet indisier på at NSA er inne i operativsystemet ditt. Men det betyr ikke at NSA har en bakdør. Likevel hevder sikkerhetseksperten at måten kryptonøklene er implementert på gjør at NSA kan komme seg inn i systemet. Graden av enkelhet varierer imidlertid. I pressemeldingen sier han at det blir "utrolig mye enklere", men i samtalen med digi.no modererer han seg til "litt enklere".

For å få det til, må NSA -- eller andre som gjerne vil bryte krypteringen din -- få adgang til maskinen og installere programvare som gjør at NSA oppfattes som en såkalt CSP, - en Cryptographic Service Provider. En slik operasjon er sjelden verdt bryet.

- Dersom de vil overvåke en hjemmebruker er det fremdeles enklere å avlytte rommet han er i eller sette opp hemmelige kamera. Men dersom det er datasenteret i en stor bedrift, kan det være fristende å skaffe seg tilgang på denne måten, sier Fernandes.

- Inntil nå, legger han til og refererer til det programmet han har laget som sperrer muligheten for å komme inn i Windows'en din via NSAs bakdør.

Til toppen