Sikkerhedsguru i krig mod bagdøre: Sådan bliver it-løsninger igen sikre

Afsløringerne af NSA’s arbejde med at få bagdøre i krypteringssoftware får sikkerhedsguruen Bruce Schneier til at foreslå nye procedurer, der skal genskabe tilliden til software og standarder.

Måske er din chef og din internetudbyder afskåret fra at læse med, når du beskytter dine e-mails med en stærk kryptering. Men for den amerikanske spiontjeneste NSA kan kryptering, der på papiret er ubrydelig, være barnemad at bryde, fordi NSA har fået lagt bagdøre ind.

De seneste måneders afsløringer af, hvordan NSA meget aktivt har spillet en rolle i tilblivelsen af for eksempel en tilfældighedsgenerator, som blev blåstemplet af NIST, det amerikanske svar på teknologisk institut og siden brugt i en række krypteringsløsninger. NSA har også haft mulighed for at bryde sikkerheden i SSL/TLS, der sørger for kryptering af kommunikation over HTTPS.

Læs også: Avis: 'Projekt Bullrun' gav NSA bagdøre til alle krypteringsmetoder

Hvordan skal vi så fremover sikre os, at det ikke fortsætter sådan, spørger den internationalt anerkendte sikkerhedsekspert Bruce Schneier, der også har været involveret som teknologisk ekspert i forbindelse med Edward Snowdens afsløringer. Det har han skrevet et blogindlæg om, med en række anbefalinger til resten af it-branchen.

Måske vil de ikke hver især kunne beskytte mod NSA’s bagdøre, men som i hvert fald tilsammen gør det sværere at snige en bagdør ind i det skjulte.

Første forslag er, at softwareproducenterne bør offentliggøre koden til de sikkerhedsløsninger, de bruger. Dermed kan alle få lov at lede efter eventuelle bagdøre. Selvom der ikke er garanti for, at det er samme kode, der er i det endelige produkt, vil det gøre det til en meget større øvelse og kræve, at virksomheder løj overfor kunderne, hvis der blev svindlet med offentliggørelsen.

Fordi det er sikrere med sikkerhedsprotokoller, som fungerer på tværs af forskellige produkter, i stedet for en lukket ’black box’, som ét firma kontrollerer, anbefaler Bruce Schneier også, at der bliver lavet kompatible udgaver af lukkede sikkerhedsløsninger. Det vil blive dyrt og svært, men måske var det en opgave, som universiteter kunne kaste sig over.

Design med én hovednøgle eller -kode er for usikre og skal droppes, mener sikkerhedsguruen, som også foreslår, at alle tilfældighedsgeneratorer skal baseres på åbne og godkendte standarder. En svag eller kompromitteret tilfældighedsgenerator er nemlig den nemmeste måde at snige en bagdør ind i en kryptering, skriver han.

Endelig mener han, at krypteringsprotokoller aldrig må designes, så de kan lække information, heller ikke de tilfældige dele af en krypteringsproces. Det kan nemlig gøre det nemmere at bryde krypteringen for NSA.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017