Kan vi stole på krypto?

Kan vi stole på krypto?

Amerikanske NSA har erklært «krig mot kryptering». - Nå er det viktig å bygge kompetanse, mener sikkerhetssjef John Arild Johansen i Buypass.

Det er ingen hemmelighet at det amerikanske sikkerhetsorganet NSA jobber hardt for å knekke koder og kryptering i sin «krig mot terror», som det heter. Selv om det ikke er kjent nøyaktig hvor langt NSA har kommet, og hva de faktisk enkelt kan knekke, er det liten tvil om de har gjort betydelige fremskritt innen kryptoanalyse.

Det har ført til bekymring rundt sikkerhet på nett, og om SSL fortsatt er trygt.

Kan vi stole på SSL?

- Det vi har lest, er jo at vi ikke lenger kan stole på SSL, og en kraftig lås hjelper jo lite hvis nøkkelen er tilgjengelig. Men SSL gir uansett kryptering, så man må jo for all del ikke ta det bort! Da åpner man jo opp for innsyn for alle, sier John Arild Johansen, sikkerhetssjef i Buypass.

Med usikkerhet og generell skepsis er det nemlig flere som har spurt Buypass om de rett og slett burde fjerne SSL fra sine servere.

- Vi må jo anta at RSA 1024 bits er knekket. Bransjen er i ferd med å gå over på RSA 2048 bits, noe vi gjorde i 2012. Dette har vært et prioritert område fos oss, og vi følger nøye med på anbefalingene, sier Johansen.

Og selv om RSA 1024 bits er knekket, slik ryktet er, så er det ingenting som tilsier at det er noen som har tilgang til alle låser og alle nøkler. Johansen mener det er viktig å ikke la seg rive helt med av sikkerhets-paranoia.

- Det er jo et både et stort og viktig tema, og det er stort behov for voksenopplæring. Det er viktig å forklare hva teknologien betyr og hva som er mulig, mener han.

Det at amerikanske myndigheter kan inspisere all kryptert nettrafikk er teoretisk, men det er mange forutsetninger som må være til stede. I tillegg er det heller ingenting som tyder på at de store SSL-aktørene på en eller annen måte samarbeider med NSA og lignende organisasjoner, mener Johansen.

Digital sikkerhet er et nyansert bilde, og det er nettopp nyansen Johansen mener det er viktig å få frem. Det er mye synsing og forenkling når det gjelder digital sikkerhet den siste tiden. Buypass er CA og sertifikatutsteder, og har for eksempel mottatt spørsmål fra kunder om forespørsel og utlevering av informasjon til NSA.

- Vi samarbeider ikke med amerikanske myndigheter, og har heller ikke hatt dem på døra. Vi følger norsk lov, forteller Johansen.

Han ser heller ingen grunn til å mistenke at kollegene i bransjen skal ha åpnet seg for myndighetene på denne måten, og mener mye av slik informasjon er spekulasjoner og til dels rene konspirasjonsteorier. Et tillitsbrudd fra sertifikatutstedere ville jo være katastrofalt for hele bransjen. Men at man uansett bør skifte ut svake låser med kraftigere låser, og sørge for at nøkkelen er godt sikret, det virker opplagt.

- Det er et grunnlag for generell skepsis, men man kan gjøre ting vanskeligere for eventuelle inntrengere ved å benytte sterkere kryptering og bruke den på en bedre måte, sier Johansen.

- Matematikken bak de kryptografiske låsene er fortsatt sikre, og det er tross alt sikrere å låse døren enn å la den stå åpen. Bare ikke legg nøkkelen under matta, legger han til.

Informasjon og bevisstgjøring

Det viktigste vi kan gjøre i dagens sikkerhetsbilde er kompetanseheving og kunnskapsbygging, mener Johansen.

Ettersom omtrent 33 prosent av de 200 000 største nettstedene benytter svak kryptering, understøtter dette behovet for bevisstgjøring og voksenopplæring. Man må rett og slett vite hva man skal se etter.

- Alt fra at pc-en går sakte til at folk skal kunne forstå at de er på riktig og trygt nettsted med tilstrekkelig kryptering hører til rundt bevisstgjøring og voksenopplæring, sier han.

Det er viktig at diskusjon og tiltak rundt digital sikkerhet er faktabasert, og at det er en pågående prosess med å opplyse om trusselbildet. Det trengs en generell skepsis og informasjonen må gjøres forståelig. Tiltaket fra Norsk senter for informasjonssikring (Norsis), nasjonal sikkerhetsmåned, er et godt eksempel på nødvendige tiltak.

- Norsis sin sikkerhetsmåned er bra. Da kommer det informasjon ut til alle, ikke bare it-folkene. Vi må jo nå alle, sier Johansen.

- Det å bygge kompetanse, informere og bevisstgjøre og ta i bruk de mulighetene som tross alt ligger der og kan brukes, basert på fakta, er nok like sunt som å ta i bruk proteksjonistiske metoder, avslutter han.

Les om:

Sikkerhet