SIKKERHET

Har du hørt om «ansvarlig kryptering» før?

Nytale fra amerikanske myndigheter.

Noen ganger er det greit å kalle en spade for en spade.
Noen ganger er det greit å kalle en spade for en spade. Bilde: Flickr/Jeremy Brooks (CC BY-NC 2.0)
18. okt. 2017 - 09:35

Sannhetsministeriet i George Orwells dystopiske roman 1984 forvalter «sannheten» slik regimet til enhver tid vil at den skal fremstå.

Boka introduserte begrepet nytale (eng. newspeak) for å begrense eller undertrykke individets tankefrihet og fjerne opprørske tanker.

Dette gir gjenklang når myndigheter i virkeligheten går inn for å bygge bakdører i datasystemer eller bevisst å svekke kryptering. Det vil de gjerne gjøre, men de vil helst kalle det noe annet.

Elsker kryptering

Sist ut er USAs visejustisminister Rod Rosenstein. I en tale forrige uke snakket han om viktigheten av kryptering.

«– Kryptering er et avgjørende element innen sikkerhet og autentisering, og helt nødvendig for å sikre vekst og en blomstrende digital økonomi. Vi som jobber med å håndheve lovene har intet ønske om å underminere kryptering.»

Det er ganske vanlig å starte slik med å uttrykke kjærlighet for krypteringens fortreffelighet.

Problemet er bare det at kryptering også er svært brysomt for politi og etterretningsorganisasjoner verden over. Milliarder av meldinger sendes nå kryptert hele veien fra avsender til mottaker.

Nytale

Fordi også terrorister bruker den slags løsninger, er svaret å innføre noe Rosenstein kaller «ansvarlig kryptering». I hans nytale er dette et fullt oppnåelig tiltak han velger å oppsummere slik:

«– Effektiv, sikker kryptering som bare tillater adgang gjennom en rettsavgjørelse. Slik kryptering finnes allerede, blant annet med sentral håndtering av krypteringsnøkler og oppdateringer av operativsystem.»

Eksemplene fortsetter med: «Skanning av innhold, som eposten din, til annonseformål, for samtidig meldingsutveksling til flere destinasjoner, eller gjenoppretting når en kunde glemmer passordet man trenger for å dekryptere en bærbar pc».

Universalnøkkel

Visejustisministeren tar i praksis til orde for at staten skal ha en universalnøkkel som kan låse opp ethvert kryptert innhold, men i neste setning nekter han for at dette kan betraktes som en bakdør.

Nei, for en slik nøkkel kan vel ikke komme på avveie eller bli misbrukt?

Dersom den private kryptonøkkelen finnes, hvem skal passe på denne? Hvem kan vi stole på av dagens eller morgendagens ledere og betrodde ansatte, eller utro tjenere, med et slikt verktøy?

Det hjelper lite at adgangen er regulert av en domstol. Dersom den private kryptonøkkelen finnes, hvem skal passe på denne? Hvem kan vi stole på av dagens eller morgendagens ledere og betrodde ansatte, eller utro tjenere, med et slikt verktøy? Og da har jeg ikke engang nevnt utfordringer med trusler fra hacking eller datainnbrudd.

Farlig nytale fra Rosenstein, dette. Slik vi har sett tegn til fra den tidligere FBI-sjefen James Comey, den britiske innenriksministeren Amber Rudd, med flere. Lager man en bakdør, uansett hva man velger å kalle det, så åpner man for misbruk.

Subtil sabotasje

Tidligere er det for øvrig dokumentert flere tilfeller av at amerikanske myndigheter har bidratt til å svekke utbredt kryptering helt i det stille. Dette er noe av lærdommen verden fikk etter dokumenter lekket av Edward Snowden.

Forskere fant for eksempel ut at etterretningsorganet NSA var med å utvikle en slumptallgenerator, hvor det bevisst ble lagt inn svakheter. Resultatet var det ble 65 000 ganger raskere å angripe en kryptonøkkel enn det ellers ville være. Arbeidet ble sertifisert av det amerikanske standardiseringsorganet NIST.

Egentlig ganske elegant og imponerende at de har klart å få til en slik subtil sabotasje, i hvert fall hvis vi ser bort ifra at NSA visstnok er den institusjonen i verden som har hyret inn flest matematiske genier. Men ikke desto mindre skremmende.

Det vil forundre meg om det ikke finnes flere tilfeller av slike bakdører. Kanskje er det en tilfeldighet at denne ukens avsløring av feil i et kodebiliotek, som gjør at millioner av kryptonøkler nå må byttes ut, den såkalte ROCA-sårbarheten, også rammer NIST FIPS 140-2-standarden for godkjente kryptomoduler?

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.