Sikkerhedsagentur: Krypto-bagdøre kan ende med at gavne terrorister og kriminelle

Genveje i kryptering, der er tænkt til at skulle hjælpe ordensmagten, kan ende med blive misbrugt at terrorister og kriminelle, påpeger EU-agentur.

Tiltag, der skal gøre det lettere for ordensmagten af lytte med, selvom der bliver brugt kryptering, kan ende med at gøre mere skade end gavn.

Det påpeger Det Europæiske Agentur for Netværks- og Informationssikkerhed (ENISA) i en rapport fra januar, der for nyligt er blevet frigivet, og som det britiske teknologimedie The Register er faldet over.

Rapporten fortæller, hvad flere nok godt ved, at brugen af kryptering, kan gøre lovlig aflytning vanskeligere, mindre effektivt og måske endda ineffektiv.

I den forbindelse nævner EU-agenturet nøgle-gendannelse (eng. recovery) og nøgle-deponering (eng. escrow) som to muligheder, der kan gøre ordensmagten i stand til at lytte med trods kryptering. Men teknikkerne kan ende med at komme de forkerte til gavn, påpeger ENISA også.

Nøgledeponering vil i rapportens terminologi sige, at der ligger en kopi af krypteringsnøglen hos en 3. part, som altså kan bruges til at låse data op med. Nøgle-gendannelse bliver forklaret som, at det er muligt at gendanne nøglen ud fra indholdet af en krypteret besked. Altså eksempelvis via en kraftig computer.

Nøgledeponering og nøgle-gendannelse er muligt

I konklusionen i rapporten står der, at nøgledeponering og nøgle-gendannelse er en teoretisk mulighed, men at begge dele vil gøre infrastrukturen kompliceret og dermed sårbar i forhold til angreb og mindre modstandsdygtig i forhold til nedbrud. Det nævnes også i konklusionen, at de økonomiske konsekvenser af en sådan infrastruktur kan være uønskværdige.

»Derudover, hvad individer angår, så vil det være ganske simpelt at omgå disse systemer (ubemærket for ordensmagten), hvilket gør dem ineffektive,« står der i rapporten.

Version2s it-sikkerhedsnyhedsbrev holder dig opdateret om alt fra compliance til cybercrime

Og så peges der i ENISA-rapporten på, at krypteringssystemer, der er lavet til at kunne knækkes, kan ende med at komme de forkerte til gavn.

»Derudover kan fremtidige fremskridt indenfor kryptology og computerkraft forvandle enhver mekanisme, der er specifikt designet til ordensmagten, til en sårbarhed, der kan udnyttes af kriminelle og terroristiske organisationer.«

Endeligt bliver det bemærket af ENISA, at begrænsninger i kryptografi i forhold til kommercielle produkter sandsynligvis vil begrænse it-industrien i EU.

Læs hele rapporten her (PDF)

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
Erling Sjørlund

Og at lave nøgledeponering – er som rapporten rigtig skriver – en umulighed


Hmm! Har du da selv genereret din private nøgle til NemID?
Opbevarer du den?
På trods af det, er det jo lykkedes at bilde størstedelen af befolkningen ind, at det er en så sikker, krypteret løsning, så brugen af NemID er juridisk bindende.
Har du svært ved at forestille dig Trine Bramsen, Søren Pind og DF gå hånd i hånd og kræve en sådan løsning for at bekæmpe terror, pædofili, voldtægter og hvad der nu ellers kan bringes op som argumenter for hvad som helst.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017