Kryptodebatt på Teknologihuset

Kryptodebatt på Teknologihuset

Alle bør kryptere, men det trengs løsninger som selv «mor» kan bruke. Vi har vært på kryptodebatt med CSA Norge.

CSA Norge inviterte nylig til medlemsmøte og paneldebatt om krypto på Teknologihuset i Oslo.

I panelet deltok Roar Thon, spesialrådgiver i NSM (Nasjonal sikkerhetsmyndighet), Jon Wessel-Aas, advokat og partner i advokatfirmaet Bing Hodneland og Geir Bækholt, utvikler og daglig leder i programvareselskapet Crypho.

Kai Roer, forfatter, foredragsholder og president i CSA Norge var moderator.

Hvorfor trenger vi krypto?

Snowden-avsløringene, eller som Thon påpeker, Snowden-bekreftelsene, viser og bekrefter mulighetene som myndigheter har til å skaffe seg omfattende informasjon om bevegelser seg i det digitale rom. I dagens samfunn betyr dette i praksis så og si alle.

Kryptering betyr å kode kommunikasjon slik at det ikke kan fanges opp og tydes av andre enn sender og mottaker. Det kan være mellom to enkeltpersoner, mellom enkeltperson og virksomhet eller mellom to eller flere servere. Slik verden er blitt, er det klart og tydelig at beskyttelse av digital kommunikasjon, fortrinnsvis med krypto, er svært viktig.

NSM har da også gått ganske kraftig ut i det siste, og anbefalt at alle bør kryptere.

- Det er ikke bare jeg som mener det, men det er kanskje jeg som har vært lengst fremme. Det er noe vi pusher kraftigere enn det vi har gjort tidligere. Vi mener det er tiden for å kryptere, uten tvil, sier Thon.

Men krypto kan fortsatt være vanskelig for hvermannsen, noe Thon også har erfart.

- Jeg opplever det ofte slik at når jeg snakker om krypto, så er det mange som blir stive. Kryptering er forbundet med noe vanskelig, sier Thon.

Han mener at alle bør ta individuelt ansvar for å beskytte informasjon, og påpeker behovet for brukervennlige løsninger, slik at selv de som ikke er teknologisk anlagt kan beskytte seg mot uønsket innsyn.

- Skal det bli noen realitet med kryptering for vanlige folk, så må det være one-click. Og vi må bli flinkere til å høre på folk som Roar og teknologene, sier Wessel-Aas.

Advokaten, som er kjent for mange som pådriver for beskyttelse av personvern på nett, påpeker videre at en bivirkning av krypto for alle, er at myndigheter har en tendens til å se krypto som en trussel mot deres egen kontroll. Blir krypteringen for god, blir myndighetene nervøse.

- Jo sikrere man gjør seg mot innsyn, desto mer aggressive blir våre egne myndigheter, som om det er en utfordring at folk sikrer seg. Det løser noe, men gjør ting potensielt bare verre. Det er en evig kamp, og en ond sirkel, mener Wessel-Aas.

Må tilgjengeliggjøres

Det er i hovedsak to utfordringer når det snakkes om at alle bør kryptere sine data. For det første er det slik at en god del krypteringsløsninger er beskyttet av et nøkkelpassord. Det er ingen hemmelighet at veldig mange med rette er dårlige til å lage gode passord. Passord skal man huske, og derfor faller mange tilbake på passord som det er lett å huske, og gjenbruk er vanlig.

Den andre utfordringen er tilgjengelighet.

- Vi ser at når vi presenterer våre teknologiske løsninger for å flytte krypto ned til et nytt nivå, så møter vi oftest ikke-tekniske personer, påpeker Bækholt.

Han mener krypto-løsninger som passer alle, som alle kan bruke, fortsatt er et godt stykke unna. En av årsakene er at det er lite etterspørsel etter slike løsninger på forbrukermarkedet, og utviklingen sliter både med kompleksitet og lav synlig interesse blant vanlige brukere.

- Det er ikke noe spesielt stort forbrukermarked slik det er i dag. Hos oss prøver vi for eksempel å gjøre noe som er forferdelig vanskelig veldig enkelt, og det kan innebære kompromisser på en del ting, sier Bækholt.

- Det blir enten ikke godt nok, eller fortsatt for vanskelig for moren min?, spør Roer.

- Ja, selv om det er en stor bevegelse nå som prøver å gjøre krypto enklere slik at for eksempel vanlige folk i næringslivet kan bruke det. Frem til vi er kommet så langt at den ene knappen, «one-click krypto» kommer, så er dette kompromisslandet. Det må være grunnleggende at man har et bevisst forhold til kommunikasjon, sier Bækholt.

- Noen må sørge for at det finnes verktøy, og noen må bevisstgjøre, avslutter han.

Noen kjekke (og gratis) krypto-verktøy:

Truecrypt er et gratisverktøy som kan kryptere disk, diskpartisjon, virtuelle disker eller ekstern disk/USB-minne automagisk. Det er også mulig å skjule krypterte disker for operativsystemet. Truecrypt har et godt rykte i sikkerhetsmiljøet, og ytelsen er ofte beskrevet som «god». Truecrypt kan brukes på GNU/Linux, Windows, OS X og BSD.

7zip er et enkelt, allsidig og gratis verktøy for å pakke ned (komprimere filer). Det kan også kryptere files, som blir beskyttet med passord. 7zip er offisielt tilgjengelig for Windows, men ettersom løsningen er åpen kildekode, er det også tilgjengelig for GNU/Linux, OS X, BSD, Solaris, Amiga og Aix. 7zip støtter de fleste komprimeringstypene, inkludert Zip, LHA, Gzip og Rar i tillegg til sin egen 7z.

GNUPG er for litt mer avanserte brukere, men har en forholdsvis lav terskel også for nybegynnere som har litt peiling. Dette verktøyet implementerer sikerheten i OpenPGP. Det innebærer også nødvendigheten av å forstå og bruke kryptonøkler. GnuPG er tilgjenglig som kildekode, og har søsterprosjektene GPG4Win og GPGTools, som tilgjengeliggjør produktet for (helholdsvis) Windows og OS X.

Disk Utility som følger med OS X kan kryptere disker og diskimages på Mac.

Tor Project er ikke et vanlig kryptoverktøy, og her bør man absolutt sette seg inn i verktøyet før man setter i gang. Tor er et gratis verktøy og et eget nettverk som å beskytter bruker mot innsyn i trafikk og innhold. Tor er også tilgjengelig som en nettleserpakke og live-system for minnepinner og cd-plater. Tor er også tilgjengelig for Android, men vær obs på forfalskninger.

OBS: Dette er bare noen alternativer. Bruk din foretrukne søkemotor og spør en teknologi om hjelp til å finne en løsning som passer for deg.

Les om: