Ved overføring av sensitive personopplysninger over eksterne datanett, krever Datatilsynet at informasjonen beskyttes gjennom bruk av kryptering. Tilsynet har tidligere satt et kvantitativt 'krav' (i form av sterk anbefaling) til krypteringsstyrken.
Det har til nå blitt regnet som tilstrekkelig med DES-algoritme og 56 bits nøkkelrom.
Utviklingen går raskt, og Datatilsynet mener nå det er nødvendig å vurdere kravet på nytt. Maskinkraften i dagens utstyr er så sterk at det er mulig i løpet av forholdsvis kort tid å bryte en melding som er kryptert med DES56 ved å prøve alle kombinasjoner (den såkalte "brute force"-metoden).
I tillegg er utstyr som kan gi enda sterkere kryptering nå gjort enklere tilgjengelig, blant annet som følge av lettelser i eksportrestriksjoner fra USA. Dette opplyser tilsynet på sine nettsider.
Datatilsynets anbefaler nå bruk av krypteringsstyrke tilsvarende "DES128" (112 bits effektiv nøkkel).
- Mange virksomheter bør vurdere å oppgradere sine systemer slik at kryperingsstyrken gjenspeiler det som kan anses for tilstrekkelig, skriver Datatilsynet.