Sikkerhedsguru i krig mod bagdøre: Sådan bliver it-løsninger igen sikre

Afsløringerne af NSA’s arbejde med at få bagdøre i krypteringssoftware får sikkerhedsguruen Bruce Schneier til at foreslå nye procedurer, der skal genskabe tilliden til software og standarder.

Måske er din chef og din internetudbyder afskåret fra at læse med, når du beskytter dine e-mails med en stærk kryptering. Men for den amerikanske spiontjeneste NSA kan kryptering, der på papiret er ubrydelig, være barnemad at bryde, fordi NSA har fået lagt bagdøre ind.

De seneste måneders afsløringer af, hvordan NSA meget aktivt har spillet en rolle i tilblivelsen af for eksempel en tilfældighedsgenerator, som blev blåstemplet af NIST, det amerikanske svar på teknologisk institut og siden brugt i en række krypteringsløsninger. NSA har også haft mulighed for at bryde sikkerheden i SSL/TLS, der sørger for kryptering af kommunikation over HTTPS.

Læs også: Avis: 'Projekt Bullrun' gav NSA bagdøre til alle krypteringsmetoder

Hvordan skal vi så fremover sikre os, at det ikke fortsætter sådan, spørger den internationalt anerkendte sikkerhedsekspert Bruce Schneier, der også har været involveret som teknologisk ekspert i forbindelse med Edward Snowdens afsløringer. Det har han skrevet et blogindlæg om, med en række anbefalinger til resten af it-branchen.

Måske vil de ikke hver især kunne beskytte mod NSA’s bagdøre, men som i hvert fald tilsammen gør det sværere at snige en bagdør ind i det skjulte.

Første forslag er, at softwareproducenterne bør offentliggøre koden til de sikkerhedsløsninger, de bruger. Dermed kan alle få lov at lede efter eventuelle bagdøre. Selvom der ikke er garanti for, at det er samme kode, der er i det endelige produkt, vil det gøre det til en meget større øvelse og kræve, at virksomheder løj overfor kunderne, hvis der blev svindlet med offentliggørelsen.

Fordi det er sikrere med sikkerhedsprotokoller, som fungerer på tværs af forskellige produkter, i stedet for en lukket ’black box’, som ét firma kontrollerer, anbefaler Bruce Schneier også, at der bliver lavet kompatible udgaver af lukkede sikkerhedsløsninger. Det vil blive dyrt og svært, men måske var det en opgave, som universiteter kunne kaste sig over.

Design med én hovednøgle eller -kode er for usikre og skal droppes, mener sikkerhedsguruen, som også foreslår, at alle tilfældighedsgeneratorer skal baseres på åbne og godkendte standarder. En svag eller kompromitteret tilfældighedsgenerator er nemlig den nemmeste måde at snige en bagdør ind i en kryptering, skriver han.

Endelig mener han, at krypteringsprotokoller aldrig må designes, så de kan lække information, heller ikke de tilfældige dele af en krypteringsproces. Det kan nemlig gøre det nemmere at bryde krypteringen for NSA.

Kommentarer (0)

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Google Android OS - Advanced

Hvornår: 2015-09-23 Hvor: Storkøbenhavn Pris: kr. 11995.00

Adobe Photoshop Videregående

Hvornår: 2015-11-04 Hvor: Storkøbenhavn Pris: kr. 9950.00

Kundeklager er en gave

Hvornår: Hvor: Storkøbenhavn Pris: kr. Efter aftale

Teorier og metoder i arbejdet m.mennesker m.sindsl

Hvornår: 2016-03-07 Hvor: Østjylland Pris: kr. 10300.00

Samspillet mellem Agile og PRINCE2®

Hvornår: 2015-09-11 Hvor: Storkøbenhavn Pris: kr. 6400.00