Forsker: Politiet hader det, men efterretningstjenesterne elsker PGP
VPN, Tor og PGP. Politimyndigheder verden over - ikke mindst i USA og Storbritannien - har flere gange udtrykt utilfredshed eller bekymring over udbredelsen af forskellige krypteringsteknikker, der i praksis er uknækkelige og dermed vanskeliggør opklaringsarbejdet.
Eksempelvis i forhold til at komme til indholdet på en mobiltelefon. Men efterretningstjenesterne har det nærmest lige omvendt med de forskellige krypteringsteknikker.
Det mener i hvert fald Nicholas Weaver ifølge The Register. Det britiske teknologimedie har besøgt den nystartede it-sikkerhedskonference Usenix Enigma i San Francisco, som blandt andet Google og Facebook er sponsorer på.
Weavers pointe på konferencen var, at krypto-trafik som TOR og PGP lyser op hos efterretningstjenesterne, som en Windows PC til en Linux-konference.
I den forbindelse afslører PGP i udgangspunktet detaljer om, hvem der kommunikerer med hvem. Eksempelvis mailadresser på afsender og modtager.
Selve PGP-beskeden indeholder dog også informationer, der ikke er krypterede og kan læses af enhver. I en lille test, som Version2 har foretaget med programmet pgpdump var det således umiddelbart muligt at læse id-nummeret på både afsenderens og modtagerens offentlige nøgler.
Herefter kan personerne bag nøglerne i udgangspunktet identificeres ved et opslag på en af de offentlige nøgleservere.
Blandt andet Michael Altfield har skrevet PGP og metadata.
»For at være ærlig, så elsker efterretningstjenesterne (eng. spooks) PGP,« sagde Weaver ifølge The Register og fortsatte:
»Det (PGP, red.) er virkeligt snakkesageligt og giver dem en masse metadata og kommunikationsposter. PGP er NSA's ven.«
Weaver har sat sig ind i NSA's teknikker det seneste årti. Og ifølge ham, så bliver al PGP-trafik automatisk identificeret, lagret og sikkerhedskopieret (til bånd). Der er i udgangspunktet tale om metadata, altså hvem der sender PGP til hvem og ikke selve indholdet af de krypterede beskeder. Efterfølgende kan dataene gennemsøges og matches op mod andre overvågningsdata.
Forudsat, at NSA har lyttegrej ved næsten alle internettets knudepunkter, så kan PGP-posterne være særdeles brugbare, bemærker The Register.
Eksempelvis via et script, der automatisk identificerer en PGP-bruger og tracker deres kommunikation med andre, måske interessante kontakter for at danne sig et samlet overblik over deres aktiviteter.
Og når først målene og deres kontakter er identificeret ud fra metadata, så kan NSA eller andre efterretningstjenester begynde at gå målrettet efter interessante individer, som dukker frem af databehandlingen.
I den forbindelse, påpegede Weaver, er det slet ikke nødvendigt med bagdøren ind i krypteringsalgoritmer for faktisk at få fat i indholdet af PGP-beskeder. Når først målene er identificeret kan klienterne kompromitteres via blandt andet de zero-day exploits, som en efterretningstjeneste som NSA formodes at råde over.
Når først klienten er kompromitteret, så er det ikke længere nødvendigt at bryde krypteringen, da beskederne kan tilgås i klartekst på målets maskine, var Weavers pointe.
Kramshøj: Den er god nok
Krypteringsfortaler, Version2-blogger og indehaver af firmaet Zencurity Henrik Kramshøj er storbruger af netop PGP. Og han medgiver, at det i udgangspunktet ikke er videre anonymt at anvende teknologier som PGP set på metadataniveau. Altså fordi trafikken let kan identificeres, opsnappes og efterfølgende metadatabehandles.
»Man skal være opmærksom på det, hvis man skal være yderst hemmelig. Men faren ved ikke at bruge PGP er jo, at der så er nogen, der direkte både kan samle metadata og læse, hvad man har kommunikeret og sendt. Så mit råd er ikke, at holde op med at bruge PGP,« siger han.
I udgangspunktet beskytter eksempelvis PGP mod, at indholdet bliver ændret, og at andre kan læse med, påpeger Kramshøj. Men når det er sagt, og hvis det virkeligt skal være hemmeligt, så anbefaler han slet ikke at kommunikere via åbne kanaler som mails, der som bekendt bliver sendt via det samme internet, som også efterretningstjenesterne har adgang til.
Selvom man er meget forsigtig ved brug af internettet, eksempelvis i forhold til ikke at bruge sin rigtige ip-adresse til at sende krypto-beskeder via, så kan det alligevel gå galt.
»Man glemmer måske at starte Tor, før man starter sin mail. Og så bliver det bundet til den hjemme-ip, man har.«
Skal det være meget hemmeligt, anbefaler Kramshøj udveksling af fysiske USB-nøgler med krypteret indhold. Og hvis indholdet er krypteret med PGP, så skal det være via PGP-nøgler, hvor den offentlige del af nøgleparret aldrig har været uploadet til de offentligt tilgængelige nøgleservere. Det vil sige de servere, der normalt faciliterer en væsentlig del af PGP-systemet, da de gør det muligt at slå en person op, som man ønsker at sende en krypteret besked til.
Endeligt mener Kramshøj, at jo flere, der bruger Tor-netværket og kryptering som PGP, jo vanskeligere bliver det for efterretningstjenester at identificere den relevante PGP-trafik.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
