Californisk datalog på vej med mailsystem sikret mod NSA-adgang

I kølvandet på Edward Snowdens afsløringer af NSA’s overvågning, flokkes udviklere for at skabe mail-værktøjer, som kan modstå de nysgerrige blikke.

Udviklere verden over har rettet deres interesse mod at skabe bedre forhold for privatlivet på internettet efter Edward Snowdens afsløringer af omfanget af NSA’s massive overvågningsapparat.

Opmærksomheden har især kastet en række nye mail-værktøjer af sig, som har til formål at sikre end to end-krypteret kommunikation mellem brugerne, der i teorien kan forhindre overvågning. Det skriver Wired.

Et eksempel på en af disse løsninger er webmail-systemet Scramble, som er udviklet af en nyuddannet datalog ved navn Daniel Posch fra Stanford University.

Pocsh’s webmailsystem fungerer ved at sende brugerne et stykke javascript-kode, som udfører en kryptering i browseren, der slører brugernes identitet.

Problemet med denne tilgang er i midlertid, at den er sårbar, hvis en hacker, eller en efterretningstjeneste, får adgang til den webmailserver, som brugeren kommunikerer med og dermed får adgang til javascriptkoden.

For at imødegå det problem planlægger Daniel Posch derfor også at skrive et plug-in til Chrome-browseren, som skal håndtere krypteringen lokalt i stedet for på serveren.

Poschs løsning indeholder dog også andre krumspring, som skal hjælpe med at holde brugernes mailkorrespondancer private.

Scramble bruger PGP-krypteringssoftware til at tildele brugerne en unik hash-værdi, som efterfølgende anvendes som navn på brugernes mail-adresser. På en måde bliver brugernes mail altså knyttet til en krypteret identitet i stedet for brugerens rigtige identitet.

Scramble er endnu ikke i sin endelige udgave, men Daniel Posch har frigivet koden bag projektet som open source, for at andre interesserede udviklere kan bidrage til at gøre løsningen så sikker som mulig.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#5 Lars Nierlsen

Har lige læst på politiken at USA og GB bruger milliarder på at knække krypteringer.

Så spørgsmålet er nytter det noget idet lange løb med alle de forsøg på at omgå USA og GB`s snagen i private mails mv. Jeg tror dem med flest midler vil vinde kapløbet som nok vil komme om ikke så lang tid.

Trist men nok uundgåeligt så længe der findes mennesker der mener de har ret til at spionere på andre.

Hvis ikke allerede så bliver det måske den nye kamplads, meget mere udpræget end nu, for det er jo uretfærdigt, efter min mening. It nørder(frihedskæmpere/terrorister alt efter smag og magt) mod efterretningstjenester.

  • 0
  • 0
#6 Allan S. Hansen

Så spørgsmålet er nytter det noget idet lange løb med alle de forsøg på at omgå USA og GB`s snagen i private mails mv. Jeg tror dem med flest midler vil vinde kapløbet som nok vil komme om ikke så lang tid.

Ja, dem med flest penge vil 'vinde' kapløbet, hvis alle andre opgiver med det samme.

Det kan sagtens være at NSA og GCHQ eller nogle helt trejde vil bryde denne kryptering og den næste og den næste. Men hver gang vil det koste penge og tid og give endnu en mulighed for befolkningerne at reagerer på overvågningen og deres politikere.

  • 0
  • 0
#7 Volker Schmidt

Sålænge vi lever i demokratier i den vestlige verden er det efter min mening uheldigt at befolkninger og regeringer bekriger hinanden med tekniske midler. Dybest set arbejder efterretningstjenesterne for os og vi betaler dem. At opruste derhjemme med 'NSA-proof' kryptering er på en måde også at give op. Det kan man gøre fordi man ikke vil overvåges her og nu, men i længden er det formentlig staten der vinder. Om ikke andet ved at forbyde kryptering generelt. Det er mere relevant at få slået fast hvem skurken er. Og få diskuteret hvor meget overvågning der er nødvendig og hvordan offentligheden kan kontrollere en så hemmelig ting som en efterretningstjeneste.

  • 3
  • 0
#8 Jesper Lund

Så spørgsmålet er nytter det noget idet lange løb med alle de forsøg på at omgå USA og GB`s snagen i private mails mv. Jeg tror dem med flest midler vil vinde kapløbet som nok vil komme om ikke så lang tid.

USA er det forkerte sted at udvikle og drive den slags services. Hvis du får lavet en kryptering og sikkerhed, som er gå god at NSA ikke kan bryde den, vil NSA bare presse dig til at indbygge bagdøre og sikkerhedshuller. Når du er i USA, kan du ikke sige nej til NSA.

Dokumentation: http://lavabit.com/

  • 3
  • 0
#9 Jesper Lund

Det er mere relevant at få slået fast hvem skurken er. Og få diskuteret hvor meget overvågning der er nødvendig og hvordan offentligheden kan kontrollere en så hemmelig ting som en efterretningstjeneste.

Hvorfor kan vi ikke få lov til at leve i et frit og åbent samfund med retssikkerhed? Hvorfor skal vi tvinges til at vælge mellem det ene og det andet totalitære samfund?

Skurken er alle som truer vores frihed, herunder vores ret til et privatliv uden at statens agenter kigger os over skulderen. Al Queda er skurken, men det er NSA så sandelig også.

Det seneste stunt fra NSA med at indbygge bagdøre og sikkerhedshuller i software, som vi er dybt afhængige af, gør os til nemme ofre for ikke bare statens overvågning men også for hackere fra organiseret kriminalitet som vil stjæle vores penge og identitet.

  • 3
  • 0
#10 Gert Madsen

Det er mere relevant at få slået fast hvem skurken er.

Det er kun relevant, hvis man rent faktisk har tænkt sig at straffe vedkommende. Indtil videre har Snowdon-affæren ikke medført retsforfølgelse af folk, der har bedrevet ulovlig overvågning.

I en parallelsag i Sverige, blev en militær efteretningsenhed blev fundet skyldig i ulovlig overvågning. Herefter oprettede man FRA, og indsatte den ansvarlige for den ulovlige overvågning som chef.

Herhjemme kan jeg heller ikke mindes at nogen fra politiet er blevet straffet for at snage i folks privatliv, selvom der har været sager nok hvor "beskyttede" oplysninger er havnet i pressen.

Den dybereliggende årsag er nok at folketingspolitikere mere ser sig selv som en del af det statslige magtapparat, og ikke så meget som befolkningens repræsentanter, som skal kontrollere at magtapparatet holder sig på måtten.

  • 3
  • 0
#11 Volker Schmidt

@Jesper Jeg tror at vi kun kan leve i et frit og åbent samfund med retssikkerhed sålænge vi bruger og forlanger demokratiet. Pointen i mit indlæg var at hvis staten overvåger os, er det op til os at få den til at lade være med det hvis det er det vi vil. Eller i det mindste forklare hvorfor det er så vigtigt. Men takket være 'Best Practice' indenfor kommunikation har vi kun hørt 'børneporno' og 'terror'. Fordi hvis vi som borgere fejler i at bibringe 'staten' at vi ikke vil hvad 'de' gør til vores eget bedste, så føler 'de' sig i den bedste ret til at gennemtvinge det. Jeg tror at bolden er hos os der kan stemme og debattere nogenlunde frit. "complicit in crimes against the American people" er en meget bekymrende formulering. Og så begynder det at være ligegyldigt om man har et progtam der kan kryptere effektivt.

  • 2
  • 0
#12 s_ mejlhede

Men hvis vi alle kryptere bliver det særdeles meget svære og dyre, og her vil forbruger vinde kapløbet, alle verdens PC mod NSA. Og ja de kan gemme det og vente på at kryptering bliver hurtigere, men hvis vi skifter 128 bit kryptering ud med 256, og vi regner med at et bit giver en fordobling af dekryptering tiden, så vil de 128 bit med en fordobling af beregnings evnen, hvert 18 måneder giver mig 192 år før de kan læse min indkøbsseddel til brugsen, og det må de så godt.

  • 0
  • 0
#13 Jacob Havskov Lauritsen

Fin idé, men det dur ikke. I det her spil vinder man ikke med matematik - man vinder med snyd. Det er lettere at bygge bagdøre ind i dit krypteringssoftware, styresystem, CPU, antivirus end det er at dekryptere reel kvalitets kryptering.

Det gør selvfølgelig ikke at der ikke sidder nogle matematiktroldmænd der regner på hvordan keyspacet kan reduceres så det er lettere at dekryptere seriøs kryptering - men for 98% af alt kryptering er det lettere at få adgang af omveje, end det er at bryde krypteringen (alle procentsatser er grebet ud af luften, og uden kildehenvisninger)

  • 4
  • 0
#14 Volker Schmidt

@Gert Nej, det er heller ikke skurken der skal straffes.

Det vigtige er, at dem der ikke er skurken får afprøvet deres ret til at gøre som de gør. For eksempel at deltage i digitale netværk som 'staten' (jeg føler stadig at det burde være os alle sammen) ikke har nogen indsigt i.

  • 0
  • 0
#17 Volker Schmidt

@Gert. Det var også dumt formuleret af mig. Selvfølgelig er det ikke forkert at straffe skurken. Jeg mente bare at det er langt vigtigere med jævne mellemrum at få slået fast hvem skurken er. Lavabit er et eksempel på hvordan man prøver at gøre en, såvidt jeg nu kan vurdere det, fuldstændig lovlig forretning til 'skurk'.

  • 0
  • 0
#19 Volker Schmidt

Ja, og i de aktuelle sager er jeg heller ikke så meget i tvivl. Men det er stadig ikke helt uproblematisk. I USA har man åbenbart fikset problemet med lovligheden ved at luske nogle særlove igennem og supplere med hemmelige domstole. For mig er det meget mere uhyggeligt end den egentlige overvågning. I Europa er vi ikke kommet derud endnu. Desværre formentlig ikke fordi vi har vildt meget mere respekt for individet, men fordi man har været mere heldig med at dysse ting ned. Men jeg kan heller ikke få mig selv at synes at vi var bedre tjente uden efterretningstjenester.

  • 0
  • 0
#21 Michael Friis

Der var for nyligt en debat om Linux Kernelen (i kølvandet på Torvalds afsløring om at han var blevet spurgt om ikke han kunne smide et par svahgeder ind i kernelen).

Konklusionen blev at der selv for open source er en lang række steder hvor der kan snige sig ondsindet kode ind.

Det behøver ikke være åbenlyse "if("nsa") give root"-ish kode. En overlagt overflow, en random generator der er lidt for glad for visse tal eller en kompromiteret compiler som indsætter svagheder i alt den laver er mere tænkelige.

Et sikret mail system som dette vil stadigvæk have disse svagheder. Open Source er ikke et blåstempel for at der ikke er bagdøre, selv code audits fanger ikke nødvendigvis alt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere