Danskudviklet kryptering skal sikre telefonsamtaler mod aflytning

DTU-professors dynamiske kryptering skal give et ekstra lag af sikkerhed til dem, der er bekymrede for, at eksempelvis en efterretningstjeneste kan lytte med.

En danskudviklet krypteringsmetode er nu blevet omsat til en mobilapplikation, som kan tilføje ekstra lag af sikkerhed til krypterede samtaler mellem mobiltelefoner. Det er især interessant, hvis man er nervøs for, om de gængse krypteringsalgoritmer er kompromitterede.

Det danske firma Dencrypt benytter dynamisk kryptering, som kortfattet går ud på at variere selve krypteringsalgoritmen, hver gang en samtale initieres.

»Det meste kryptering af kommunikation foregår med nogle få algoritmer, som eksempelvis AES. De er typisk amerikanske, og hvis nogen overvåger kommunikationen, så ved de, at der kan være tale om 1-3 algoritmer, og så skal de bare få fat i nøglen,« siger professor Lars Ramkilde Knudsen fra DTU, som har udviklet teknologien, som Dencrypt anvender.

Lars Ramkilde Knudsens teknik til dynamisk kryptering gør det muligt at variere algoritmen ud fra et tilfældigt tal på et par hundrede bit. Dermed bliver der i praksis et antal mulige varianter af algoritmen som af krypteringsnøglerne.

Den grundlæggende algoritme er stadig baseret på AES, som i sig selv anses for at være særdeles sikker, hvis den er implementeret korrekt. Det ekstra lag sikkerhed, som Dencrypt tilføjer, skal sikre mod, at eksempelvis en efterretningstjeneste har kendskab til en svaghed i algoritmen eller har mulighed for at knække krypteringsnøglerne.

»Hvis du cruncher på nøglerne, kunne du have dedikeret hardware, men det er svært, hvis du ikke ved, hvilken krypteringsmetode der er brugt,« siger direktør Søren Sennels fra Dencrypt til Version2.

En entitet, som indsamler eksempelvis alle telefonsamtaler, vil således først skulle finde frem til den variant af krypteringsalgoritmen, der er anvendt, og det vil i praksis være umuligt ud fra den information, der bliver sendt mellem to telefoner.

»Du vil være nødt til at skulle ind på telefonen og kigge, for du kan ikke se det ud fra det, der bliver sendt,« siger Lars Ramkilde Knudsen.

Det ligger indbygget i systemet, at modtageren kan dekryptere samtalen, uden der skal sendes information om, hvordan algoritmen er varieret, som ville kunne bruges af en tredjepart til at finde frem til algoritmen.

»Når du initierer samtalen, vælger telefonen en algoritme, og modtageren ved, hvilken algoritme du bruger. For at aflytte skal du altså gætte algoritmen, og algoritmerummet er næsten lige så stort som nøglerummet,« siger Søren Sennels.

Teknologien, som Dencrypt bruger i mobilapplikationen DC1000, er patenteret af DTU. Målgruppen for den ekstra kryptering er blandt andet virksomheder og myndigheder, som ønsker det ekstra sikkerhedslag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Have

Samme måde som det fungerer på fx ved HTTPS - DHE eller Diffie Hellman Key Exchange.

Diffie–Hellman key exchange (D–H)[nb 1] is a specific method of exchanging cryptographic keys. It is one of the earliest practical examples of key exchange implemented within the field of cryptography. The Diffie–Hellman key exchange method allows two parties that have no prior knowledge of each other to jointly establish a shared secret key over an insecure communications channel. This key can then be used to encrypt subsequent communications using a symmetric key cipher.

http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange

  • 2
  • 0
Benny Lyne Amorsen

Der har været praktiske angreb på diverse krypteringssystemer fordi angriberen kunne lokke parterne til at vælge dårlige algoritmer under forhandlingen. Det er modigt at tilføje ekstra kompleksitet og mange varianter af algoritmer.

Kryptering brydes stort set aldrig med brute-force mod den symmetriske algoritme. Det er det forkerte sted at satse for at forbedre sikkerhed.

Godt at se at det er beskyttet af et software-patent. Så er det effektivt sikret mod at blive brugt i praksis.

  • 9
  • 0
Ditlev Petersen

Oh rædsel, pædofile vil boltre sig i lumre samtaler. Dette kræver et retsindgreb.

Et eller andet sted er det vist en variation over sikkerhed, der delvist er baseret på tredjeparts ukendskab til algoritmen. Normalt et fy-fy! Ganske sjovt hvis det faktisk fungerer.

  • 0
  • 0
Jesper Lund

<satire>
Er det ikke et problem, at PET ikke har en bagdør, så de kan lytte med, hvis de for en retskendelse?
</satire>

Du er sgu ikke satire!

Hvis (*) denne kommunikationstjeneste er omfattet af "lov om elektroniske kommunikationsnet og -tjenester" SKAL der være en bagdør
https://www.retsinformation.dk/forms/r0710.aspx?id=161319

Se § 10 (krav om bagdør) som gælder for "udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere". Efter definitionerne i § 2 er det meget mere end almindelige telefonselskaber.

(*) Hvorvidt den er omfattet kan/vil jeg ikke give nogen vurdering af.

  • 4
  • 0
Jesper Louis Andersen

Der har været praktiske angreb på diverse krypteringssystemer fordi angriberen kunne lokke parterne til at vælge dårlige algoritmer under forhandlingen. Det er modigt at tilføje ekstra kompleksitet og mange varianter af algoritmer.

Ja, men det er sådan set ikke tilfældet her. For det første er der ikke nogen forhandling om hvilken kryptering der benyttes. Alice vælger algoritmen, og der er ikke nogen udveksling om en forhandling, så du kan ikke svække systemet ved at nedforhandle sikkerheden ligesom du kan i TLS/SSL.

Der er nærmere tale om at du har en næsten uendelig stor familie af kryptosystemer, hvor du via en tilfældig parameter vælger een af disse som et lag ovenpå den eksisterende symmetriske chiffer. Det giver dig så en sikkerhedsmargin der er væsentligt bedre end, say, AES, fordi en angriber meget hurtigt kan blive tvunget til at bruge software i stedet for dedikeret hardware. Endnu bedre kan det formentlig vises at sikkerhedsmarginen aldrig kan blive ringere end AES, og så er du hjemme.

Men jeg er helt enig i den betragtning om at en angriber formentlig vil forsøge at køre udenom ved at inficere telefonen. Det er det billigste angreb mod kryptering at omgå den helt og aldeles.

  • 2
  • 0
Hans Schou

Hvis (*) denne kommunikationstjeneste er omfattet af "lov om elektroniske kommunikationsnet og -tjenester" SKAL der være en bagdør


§10 loven er skræmmende, men som jeg forstår den, så handler den om at teleudbyderen skal have adgang til EGNE systemer, så politiet kan bede teleudbyderen om adgang.

Hvis man selv har siddet hjemme i kælderen og filet sig en privat-nøgle med GnuPG eller lignende, så har politiet (for tiden) ikke en chance. Skal politiet have dette, med en retskendelse i hånden? Det vil kræve at jeg selv skal udlevere nøglen, da jeg er den eneste der har adgang til den.

Hvis jeg ikke vil udlevere den private nøgle, skal en dommer så kunne idømme mig isolationsfængsel? I forbindelse med CSC-sagen, hvor den anonyme JKT har siddet isolationsfængslet, forlyder det at han blev lovet fri for isolation, mod at give de private nøgler til politiet. Hvis det er rigtigt, så er der et tættere samarbejde imellem politiet og dommerne, end hvad godt er. Og dommerne ved det, hvilket er ansvarspådragende.

  • 2
  • 0
Baldur Norddahl

Se § 10 (krav om bagdør) som gælder for "udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere". Efter definitionerne i § 2 er det meget mere end almindelige telefonselskaber.

Kan du komme med et eksempel, på noget der ikke er et teleselskab, som er omfattet?

§10 begynder således:

§ 10. Udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal uden udgift for staten sikre,

Definition på "elekontriske kommunikationsnet" i §2:

Elektroniske kommunikationsnet: Enhver form for radiofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af elektroniske kommunikationstjenester.

Definition på "elektroniske tjenester" i §2:

Elektronisk kommunikationstjeneste: Tjeneste, der helt eller delvis består i elektronisk overføring af kommunikation i form af lyd, billeder, tekst eller kombinationer heraf ved hjælp af radio- eller telekommunikationsteknik mellem nettermineringspunkter, herunder både tovejskommunikation og envejskommunikation.

Definition på "slutbruger" i §2:

Slutbruger: Bruger af elektroniske kommunikationsnet eller -tjenester, som ikke på kommercielt grundlag stiller de pågældende elektroniske kommunikationsnet eller -tjenester til rådighed for andre.

Og lidt afledte definitioner i §2:

Nettermineringspunkt: Den fysiske eller logiske grænseflade i et elektronisk kommunikationsnet, der udgør en slutbrugers tilslutning til dette.

Så du leder efter nogen, der ikke er en slutbruger, og som overfører data til slutbrugere via radio eller telekommunikationsteknik mellem nettermineringspunkter.

Det vil f.eks. kræve en ret udvidet fortolkning at få presset en VPN tjeneste ind under disse definitioner. VPN udbyderen har simpelthen ikke en radio eller kabelbaseret teleinfrastruktur. Dermed har han ikke et nettermineringspunkt, som er defineret ved en slutbrugers tilslutning til et elektronisk kommunikationsnet (=radio eller kabelbaseret). Og dermed er VPN ikke en elektronisk kommunikationstjeneste.

Og så handler §10 på trods af de kluntede formuleringer, blot om at politiet skal have adgang til at foretage aflytninger. Der er ikke noget om at teleudbyderen skal kunne bryde kundernes kryptering.

  • 2
  • 0
Lasse Nielsen

Hvis man vælger algoritmen ud fra et par hundrede bits information, så har jeg svært ved at se hvordan det ikke bare er ækvivalent med en større nøgle til en mere kompleks krypteringsalgoritme.
Umiddelbart ville jeg foretrække en større nøgle til en simplere (men sikker) krypteringsalgoritme, men bare det at få en større nøgle er jo en fordel.

Jeg vil være bekymret over om alle variationer af algoritmen er lige sikre.

(Og det er Diffie-Hellman ifølge http://www.dencrypt.dk/wp-content/uploads/2014/10/DC1000_Product_Sheet_T...)

  • 1
  • 0
Jesper Louis Andersen

(Og det er Diffie-Hellman ifølge http://www.dencrypt.dk/wp-content/uploads/2014/10/DC1000_Product_Sheet_T...)

Jeg tror kun DH bliver brugt til at identificere den anden ende og overføre en passende initiel symmetrisk key, akkurat som i det fleste andre systemer. Det er helt standard.

Det dynamiske kryptering ligger i de 2x128bit whitening keys, tror jeg. Den bedste grund jeg kan finde til at du ikke bare forlænger din key-size er at arbejdet for at kryptere og dekryptere så bliver dyrere. Større blokke betyder mere arbejde. Det virker som om at tricket er at du kan få en bedre sikkerhedsmargin, men uden at det koster i krypteringshastighed.

Den teori harmonerer rigtigt godt med at det her foregår på mobiltelefoner hvor vi dels ønsker en høj sikkerhedsmargin, men dels ønsker at kryptering/dekryptering ikke bruger for meget batteri.

  • 0
  • 0
Anders Trier Olesen

Suk.. "security" by obscurity, hjemmeudviklet kryptering, patenteret teknologi og lukket kildekode (jeg sendte en mail og spurgte efter koden). Det får i hvert fald mine advarselslamper til at lyse, og strider mod Kerckhoffs's principle.

Hvis du skal bruge sikker kryptering, skal du bruge algoritmer og implementeringer der er analyseret i flere år. At have muligheden for også selv at analysere koden mener jeg er essentielt.

"For at bruge mobilkrypteringen kræver det et abonnement på omkring 1.000 kroner per bruger om året."
Kan man i Danmark patentere en algoritme? Er det ikke praktisk talt et software patent? (Hvilket patentlovgivning forbyder)
Jeg har ledt lidt, men synes ikke jeg kan finde patentet. Nogen der kan hjælpe mig på vej?

Et bedre alternativ til sikre telefonopkald kunne være Android applikationen RedPhone:
https://whispersystems.org/

  • 0
  • 0
Thomas Dynesen
  • 1
  • 0
Mads Madsen

Hvis man selv har siddet hjemme i kælderen og filet sig en privat-nøgle med
GnuPG
eller lignende, så har politiet (for tiden) ikke en chance. Skal politiet have dette, med en retskendelse i hånden?

Det vil stride imod den danske fortolkning af princippet om selvinkriminering og heldigvis er der ikke hjemmel for et sådant efterforsskningsskridt over for en mistænkt.

I Storbritanien har man dog indført en sådan lov, men den er i praksis kun blevet brugt yderst sjældent.

Staten skal nemlig bevise, at

(1) At data er krypteret;

(2) Man er i besiddelse af muligheden for at afkode de data som myndigheden påbyder;

(3) At man bevidst har nægtet at samarbejde.

Det er i praksis meget vanskeligt at bevise, med mindre man mere eller mindre åbenlyst nægter at samarbejde, eller politiet tager en på fersk gerning igang med at indtaste passwordet.

Hvis man vil forøge sin plausible deniability kan man også lave et lille script, der ødelægger nogle bytes i den krypterede container, sådan at den aldrig vil kunne afkodes selv med det korrekte password.

PGP filer har så vidt jeg husker en bestemt signatur eller magic number, og ændrer man nogle bytes i PGP filen, kan man altid sige at man desværre ikke kan aflåse den fordi den må være ødelagt.

Der er heller ingen definitiv måde til at skelne en disk overskrevet med tilfældige data fra et krypteret filsystem.

Det vil kræve at jeg selv skal udlevere
nøglen, da jeg er den eneste der har adgang til den.

Hvis jeg ikke vil udlevere den private nøgle, skal en dommer så kunne idømme mig isolationsfængsel?

Du bliver ikke idømt fængsel for ikke at udlevere en krypteringskode til politiet, da det ikke i sig selv er strafbart at nægte at hjælpe politiet.

Varetægtsfængsling er ingen straf og kommer uanset dens varighed ikke på straffeattesten, uanset om den varer længe, hvis anklagemyndigheden må opgive sagen.

Så det er bare at holde ud og håbe at der ikke er beviser.

  • 0
  • 0
Log ind eller Opret konto for at kommentere