Mikko Hyppönen mener at det vil være nytteløst å forby sterk kryptering. Her er han fotografert under årets Paranoia-konferanse i Oslo.
Mikko Hyppönen mener at det vil være nytteløst å forby sterk kryptering. Her er han fotografert under årets Paranoia-konferanse i Oslo. (Bilde: Marius Jørgenrud)

Kryptering

Mikko Hyppönen: – Det er for sent å forby sterk kryptering

Politikere i flere land taler for å forby ende-til-ende-kryptering, eller å bare tillate krypteringsteknologier med innebygde bakdører. Hensikten er å hindre at potensielle terrorister kan kommunisere uten fare for å bli avlyttet. Problemet, om man skal kalle det det, er at disse forslagene kommer altfor sent. Dette sier den kjente, finske sikkerhetsforskeren Mikko Hyppönen i et langt intervju med britiske The Register, hvor han også kommer inn på temaer som tingenes internett, Windows 10 S og VPN (Virtual Private Network).

Skuffet, men ikke overrasket

– Jeg er ikke overrasket over at politikere, som deres nåværende og tidligere statsministere [altså Storbritannias, journ. anm.] har bedt om restriksjoner for sterk kryptering. De er politikere. Jeg er skuffet over deres tekniske rådgivere. Deres rådgivere skulle forstå dette bedre, sier Hyppönen.

– Det politikerne forstår er at, ja, slemme mennesker bruker sterk kryptering. Men løsningen er ikke å forby sikkerhet. Den katten er ute av sekken. Alt dette er basert på matematikk. Du kan gå inn i ethvert bibliotek og finne en bok som forteller deg hvordan du skal implementere kryptering som ikke kan knekkes. Hemmeligheten er avslørt, sier Hyppönen. 

Forbud

Et alternativ er å forby bruken av sterk kryptering gjennom lov. 

– Du og jeg vil følge denne loven, men vet du hvem som ikke kommer til å følge loven? De slemme menneskene, sier Hyppönen.

Dermed fratar man vanlige mennesker muligheten til å beskytte kommunikasjonen sin mot avlytting. Ikke bare mot avlyttingen til myndighetene i sitt eget land, men også mot avlyttingen til alle andre parter, inkludert kriminelle og myndighetene i andre land. 

Terroristene og de kriminelle vil derimot kunne beskytte sin egen kommunikasjon med stadig bedre krypteringsmetoder. 

Avslørende

Men én ting som Hyppönen ikke nevner, er at dersom det bare er kriminelle som bruker virkelig sterk kryptering, vil det være enkelt for etterretningstjenestene å skille mellom vanlige internettbrukere og kriminelle. Dette sa Nicholas Weaver, en forsker ved International Computer Science Institute, under et foredrag i fjor

– For å være ærlig, elsker etterretningsagentene [krypteringsteknologien] PGP. Det er riktig så pratsomt og gir dem massevis av metadata og kommunikasjonslogger. PGP er NSAs venn, sa Weaver. 

Uttalelsen kom kort tid etter at NSA-direktør Michael S. Rogers talte for ende-til-ende-kryptering og mot bakdører i krypteringsteknologi. 

Lekkasjene av kybervåpnene til NSA og CIA det siste året har vist at man aldri kan være sikker på at ens egne våpen ikke kan bli brukt mot en selv. Dette gjelder også bakdører i kryptering.

Les også: Krav om kryptobakdører vil aldri kunne fungere

Telegram-blokkering?

Det russiske tilsynet for telekommunikasjon, informasjonsteknologier og massekommunikasjon, Roskomnadzor, kunngjorde i dag en advarsel til meldingstjenesten Telegram, som tilbyr ende-til-ende-kryptering. Tjenesten vil bli blokkert i Russland dersom ikke teamet bak tjenesten fyller ut et spørreskjema om virksomheten.

Telegram har ingen fysisk eller juridisk tilknytning til Russland.

Telegram er grunnlagt av Pavel Valerievich Durov, som også grunnla VK (VKontakte), det sosiale nettverket som ofte omtales som Russlands Facebook. Durov ble under litt spesielle omstendigheter sparket fra stillingen som administrerende direktør for VK i 2014. Han valgte da å rømme landet og driver Telegram fra Berlin.

Sjefen for Roskomnadzor, Aleksandr Zharov, opplyser i kunngjøringen at Telegram bryter den russiske loven om aktører som legger til rette for spredning av informasjon. I Russland må slike aktører være registrerte.

Russland krever dessuten at alle persondata om russiske innbyggere kun må være lagret på servere i Russland. 

Les også: Russland vil forby anonym blogging

Må ta vare på samtaler og nøkler

Dette kan begrunnes med at myndighetene ønsker å hindre at utenlandske myndigheter får innsyn i persondataene til russiske innbyggere, men gjør det også enklere for russiske myndigheter å omgå hele krypteringsproblematikken, så lenge dataene som overføres blir liggende i servere på russisk jord. 

Det er ingenting i kunngjøringen fra Roskomnadzor som tilsier at russiske myndigheter vil blokkere Telegram på grunn av krypteringsmulighetene. Men ifølge TASS forplikter de registrerte aktørene seg til å ta vare på og, om nødvendig, utlevere brukernes samtaler og krypteringsnøklene som beskytter disse, til russiske justismyndigheter.

Med ende-til-ende-krypteringer er det kun deltakerne i samtalen som har tilgang til krypteringsnøkkelen. Den kan altså ikke utleveres av tjenestetilbyderen, som heller ikke kan lagre samtalen i klartekst.

Storbritannia mot EU

Som Hyppönen nevner, har den britiske statsministeren, Theresa May, vært en forkjemper for tiltak som gjør overvåking på internett enklere. Dette gjelder blant annet gjennom loven som offisielt heter Investigatory Powers Bill, men som gjerne kalles for Snooper’s Charter.

Etter de siste terroraksjonene i England har May kommet med nye uttalelser i samme retning, inkludert å ta til orde for mer regulering av internett, og at menneskerettigheter kanskje må vike i kampen mot terror. Det antas at det samme vil gjelde sterk kryptering, selv om det i liten grad har blitt sagt med så klare ord.

Samtidig er det politikere som kjemper i motsatt retning. EU-parlamentets komité for borgerrettigheter og juridiske og innenriksspørsmål, la tidligere denne måneden fram et lovforslag som forbyr EU-landene i å knekke den elektroniske beskyttelsen av sikre tjenester som hindrer uvedkommende i å lese dataene som overføres, for eksempel meldinger. 

«The providers of electronic communications services shall ensure that
there is sufficient protection in place against unauthorised access or alterations to the electronic communications data, and that the confidentiality and safety of the transmission are also guaranteed by the nature of the means of transmission
used or by state-of-the-art end-to-end encryption of the electronic
communications data. Furthermore, when encryption of electronic communications
data is used, decryption, reverse engineering or monitoring of such
communications shall be prohibited. Member States shall not impose any
obligations on electronic communications service providers that would result in the
weakening of the security and encryption of their networks and services.»

Det foreslås altså også at kommunikasjonstjenester skal sikre kommunikasjonen mot uautorisert tilgang, for eksempel med moderne ende-til-ende-kryptering, og medlemslandene skal ikke kunne tvinge tjenesteleverandørene til å svekke sikkerheten eller krypteringen i tjenestene og nettverkene. 

Ikke vedtatt

Teksten over er bare et utdrag fra lovforslaget. Men ingenting er vedtatt, heller ikke ordlyden i lovforslaget. 

Lovforslaget, om det blir vedtatt, anses likevel som å kunne utgjøre et betydelig tilbakeslag for statsminister May. Riktignok har Storbritannia besluttet å melde seg ut av EU. Men veien dit vil være lang og full av vanskeligheter.

Les også: Utenlandske medier kaller loven den mest ekstreme noensinne. Norsk ekspert: - Jeg er svært bekymret!

Kommentarer (3)

Kommentarer (3)
Til toppen