Sikkerhedsagentur: Krypto-bagdøre kan ende med at gavne terrorister og kriminelle

Genveje i kryptering, der er tænkt til at skulle hjælpe ordensmagten, kan ende med blive misbrugt at terrorister og kriminelle, påpeger EU-agentur.

Tiltag, der skal gøre det lettere for ordensmagten af lytte med, selvom der bliver brugt kryptering, kan ende med at gøre mere skade end gavn.

Det påpeger Det Europæiske Agentur for Netværks- og Informationssikkerhed (ENISA) i en rapport fra januar, der for nyligt er blevet frigivet, og som det britiske teknologimedie The Register er faldet over.

Rapporten fortæller, hvad flere nok godt ved, at brugen af kryptering, kan gøre lovlig aflytning vanskeligere, mindre effektivt og måske endda ineffektiv.

I den forbindelse nævner EU-agenturet nøgle-gendannelse (eng. recovery) og nøgle-deponering (eng. escrow) som to muligheder, der kan gøre ordensmagten i stand til at lytte med trods kryptering. Men teknikkerne kan ende med at komme de forkerte til gavn, påpeger ENISA også.

Nøgledeponering vil i rapportens terminologi sige, at der ligger en kopi af krypteringsnøglen hos en 3. part, som altså kan bruges til at låse data op med. Nøgle-gendannelse bliver forklaret som, at det er muligt at gendanne nøglen ud fra indholdet af en krypteret besked. Altså eksempelvis via en kraftig computer.

Nøgledeponering og nøgle-gendannelse er muligt

I konklusionen i rapporten står der, at nøgledeponering og nøgle-gendannelse er en teoretisk mulighed, men at begge dele vil gøre infrastrukturen kompliceret og dermed sårbar i forhold til angreb og mindre modstandsdygtig i forhold til nedbrud. Det nævnes også i konklusionen, at de økonomiske konsekvenser af en sådan infrastruktur kan være uønskværdige.

»Derudover, hvad individer angår, så vil det være ganske simpelt at omgå disse systemer (ubemærket for ordensmagten), hvilket gør dem ineffektive,« står der i rapporten.

Version2s it-sikkerhedsnyhedsbrev holder dig opdateret om alt fra compliance til cybercrime

Og så peges der i ENISA-rapporten på, at krypteringssystemer, der er lavet til at kunne knækkes, kan ende med at komme de forkerte til gavn.

»Derudover kan fremtidige fremskridt indenfor kryptology og computerkraft forvandle enhver mekanisme, der er specifikt designet til ordensmagten, til en sårbarhed, der kan udnyttes af kriminelle og terroristiske organisationer.«

Endeligt bliver det bemærket af ENISA, at begrænsninger i kryptografi i forhold til kommercielle produkter sandsynligvis vil begrænse it-industrien i EU.

Læs hele rapporten her (PDF)

Kommentarer (2)

Erling Sjørlund

Og at lave nøgledeponering – er som rapporten rigtig skriver – en umulighed


Hmm! Har du da selv genereret din private nøgle til NemID?
Opbevarer du den?
På trods af det, er det jo lykkedes at bilde størstedelen af befolkningen ind, at det er en så sikker, krypteret løsning, så brugen af NemID er juridisk bindende.
Har du svært ved at forestille dig Trine Bramsen, Søren Pind og DF gå hånd i hånd og kræve en sådan løsning for at bekæmpe terror, pædofili, voldtægter og hvad der nu ellers kan bringes op som argumenter for hvad som helst.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen