Forsvarsministeriet køber DTU-krypto for 30 mio.

Dencrypt har indgået indgået kontrakt med Forsvarsministeriet om levering af telefon-kryptering for 30 mio. kroner.

En krypteringsløsning fra af DTU-forskning skal implementeres hos det danske forsvarsministerium. Firmaet Dencrypt fra København, der leverer løsningen, og Forsvarsministeriet har indgået en kontrakt til en værdi af 30 mio. kroner om levering af krypteringsmoduler til klassificeret kommunikation, fremgår det af en pressemeddelelse.

Der er tale om såkaldt dynamisk kryptering, der er kernen i løsningen. Den er udviklet af DTU-professor Lars Ramkilde Knudsen og tidligere omtalt her på Version2.

Læs også: Danskudviklet kryptering skal sikre telefonsamtaler mod aflytning

Kontrakten omfatter blandt andet levering, certificering, videreudvikling af krypto-moduler til mobiltelefoner og andre platforme til beskyttelse af klassificeret kommunikation. Formålet er at beskytte klassificeret information indenfor Forsvarsministeriets område.

Rektor Anders Bjarklev, Danmarks Tekniske Universitet, udtaler i pressemeddelelsen:

»Vi er meget glade for at se, at forskningsresultater fra Danmarks Tekniske Universitet bidrager til at etablere nye og innovative danske virksomheder med en global rækkevidde.«

Af et produktblad vedhæftet pressemeddelelsen fremgår det, at der er tale om en løsning, der kan integreres i smartphones (Android og iOS). Løsningen kan blandt andet kryptere talekald end-to-end, kryptere live-chat, kryptere gruppekald og samtidig levere høj lydkvalitet.

Det et af de mest fremhævede selling points i produkarket er dog Ramkildes Dynamic Encryption.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (13)

Kommentarer (13)
Gert G. Larsen

Det er da meget hyggeligt, at der vælges en lille lokal løsning, med egenudviklet krypto osv i.
Men hvorfor blev det valgt, frem for f.eks. Silentcircle, Blackberry ell. lign., der vel kan noget af det samme?
Det kan I evt. grave lidt i, så det ikke kun bliver genudsendelse af en pressemeddelelse :-)

Bent Jensen

Er det ikke noget med at man ikke skal lave sin kryptering selv. Også selv om man måske ved om matematik og arbejder på DTU. Da der skal MEGET arbejde og test til for at sikker at der ikke er nogen huller og fejl i koden og logeritmen til kryptering.
Noget man ikke kan bevise, men kun sansynliggøre.
Så hvis nogen laver revieu på koden og krypteringen, så bliver det rigtige hacker, der ikke vil Løkke det godt, ikke nogen andre forsker som finder fejl.

Vil det ikke bare være bedre at bruge VeraCrypt, og evt. tilrette det for 30 millioner kr.
Eller er det bare en måde at få brugt nogen af alle de penge som de har fået, og som de ikke skal stå inde for på nogen som helst måde.

Erik Hougaard
Thomas Hansen

Vil det ikke bare være bedre at bruge VeraCrypt, og evt. tilrette det for 30 millioner kr.

Har vi læst den samme artikel? Hvordan har du tænkt dig at bruge noget i stil med VeraCrypt til at kryptere de ting der nævnes?

"Løsningen kan blandt andet kryptere talekald end-to-end, kryptere live-chat, kryptere gruppekald og samtidig levere høj lydkvalitet."

Og hvad ville du have sagt for 4-5 år siden? Brug TrueCrypt? Hvad var det lige der skete med det?

Bent Jensen

Brug TrueCrypt? Hvad var det lige der skete med det?


Det virker da i stadig, og det ser ikke ud til at sikkerheden er bristet ?
Og VeraCrypt kan også håndtere TC container. Så til forskeld for lukket software, så lever TC videre i fork som VC. Så du har ret, det er et godt eksempel, på hvad der sker når man bruger fri, åben og gratis software.

Synes det er lidt tåbeligt at betale for at udvikle sin egen kryptering, når vi ser at det går galt gang på gang, fordi der er fejl i enten software eller kryptering. Det kan godt være at Lars Ramkilde Knudsen kan lave en kryptering som måske holder, men hvad med dem som udvikler software efterfølgende. Bliver deres kode gennemgået for fejl af mange andre, som ikke har de samme briller på. Hvis det at holde kildekoden "hemmeligt", er den eneste sikkerhed for at der ikke er fejl i softwaren. Så vil jeg mene at det er bedre at købe elle bruge OS hyldevare hvor sikkerheden er tænkt ind. De 30 milioner ville ud fra mit synspunkt, bare skulle bruges på at teste om der var fejl i den resulterende software eller kryptering.

Man kan også spørge sig selv hvordan sådan et enkelt projekt, gavner noget som helst, inden det er udviklet færdigt er der kommet nye telefoner og OS til telefoner. Så enten må man forblive på den gamle platform, eller så bruge yderligere penge på nye sikkerhedtest. Der må jo også tænkes udvikling af OS til telefone ind i det ?

De kan jo ikke regne med at bruge Appel IP, da de ikke får nok kontrol over OS til at det kan garanteres at software eller systemet ikke bliver komprimiteret, det er det samme med MS. Så er der kun Andriod tilbage, hvor man skal starte med et OS uden google tjenester og play, for sikkerhedens skyld. Også er 30 milioner ikke meget, hvis man også skal lave app. til SMS, Mail, Browser samt andre basis tjenester.

Sikkerhed er svær, og der er sikkert 5000 andre parameter som jeg ikke har taget i betraktning, men som en hacker eller spiontjeneste har. Måske bare noget som dette,

https://www.version2.dk/artikel/krypterede-android-telefoner-kan-hackes-...

og har de penge til at teste alle hullerne, for ellers bliver det jo bare en falsk form for trykhed, noget som er langt farliger. Bare se på Enigma, og antal sunket tyskeubåde.

Derfor jeg synes det var mere på sin plads, at bruge en bestående åben platform. Og tilrette den, her ville 30 millioner række meget langt. Måske noget som

https://guardianproject.info/apps/

Er det ikke også lidt mærkeligt at de begyndt at tænke på denne form for sikkerhed, efter at de har ladet en kinesisk producent levere basis infrakstruktur til telefoni her hjemme :-(

Thomas Hansen

Virker det stadig? Ingen problemer? Er det derfor der står med fin rød skrift
"WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues"
på sourceforge siden?

http://truecrypt.sourceforge.net/

Det er ved at være noget tid siden at udvikleren trak produktet tilbage og i den grad anbefalede at man fandt andre måder at kryptere indhold.

"Derfor jeg synes det var mere på sin plads, at bruge en bestående åben platform."
Så kom med et eksempel på en krypteringsform der er optimeret den type kommunikation der her er tale om?

Jacob Gorm Hansen

Det er vel fint at stoette danskudviklet teknologi og ikke stole blindt paa NSAs algoritmer, og Lars Knudsen er et anerkendt navn i krypto-kredse. Som jeg forstaar det ideen at lave en slags "frequency hopping", hvor man udskifter algoritmen undervejs, saaledes at en angriber ikke kun skal gaette selve noeglen, men ogsaa hvilken algoritme der er tale om. Algoritme-valget kommunikeres tilsyneladende out-of-band, saaledes at dette ikke kan udledes af den opsnappede ciphertext. Hvorledes man undgaar at out-of-band kommunikationen kan opsnappes forstaar jeg ikke helt, men maaske er pointen at denne udveksling indeholder saa lidt data, at den i praksis er ubrydelig.

Michael Cederberg

Som jeg forstaar det ideen at lave en slags "frequency hopping", hvor man udskifter algoritmen undervejs, saaledes at en angriber ikke kun skal gaette selve noeglen, men ogsaa hvilken algoritme der er tale om. Algoritme-valget kommunikeres tilsyneladende out-of-band, saaledes at dette ikke kan udledes af den opsnappede ciphertext.

Jeg forstår ikke rigtigt ideen med algoritmeskift. Hvis han ikke mener de enkelte algoritmer i sig selv er sikre (eller han er bange for bagdøre eller endnu ikke opdagede svagheder), hvorfor så ikke blot kryptere med alle sammen på en gang. Hvis blot en af dem er god nok, så er løsningen sikker. Og så kunne han fx. vælge en amerikansk, en russisk, en kinesisk, en europæisk, samt en han har lavet hjemme på køkkenbordet (Ok, jeg ved godt han er et anerkendt navn).

Det koster ekstra CPU power og nøglelængden bliver længere, men ingen af delene burde være et problem her.

Bent Jensen

Det er ved at være noget tid siden at udvikleren trak produktet tilbage og i den grad anbefalede at man fandt andre måder at kryptere indhold.


Nu er det ikke fundet fejl, eller sikkerheds huller som jeg forstår det.
Det at koden er åben betyder jo også at der er muligheder for at finde sådanne fejl.
Men du har da ret i at når sikkerheds tjenster, bruger skatteborgernes penge på at underminere sikkerhed i software, istedet for at hjælpe med at fjerne huller. så kan det være lidt svært.
Men tilgengæld er de 3 stjernet jo oppe mod matematik og fysike love, noget som er lidt svære at manipulere end politiker, samt ikke noget de bare kan blæse på :-)
Heldigvis for det. En af afløseren VC bruger også de nyeste testet og "godkende" algoritmer, så kan man hvis ikke gøre det meget bedre.

Men hensyn til telefonsamtaler, som nok er den eneste form hvor der måske ikke kan bruges den her software. Så kunne man jo også bruge SIP i en VPN tunnel hjem til en sikkert server. En nem og billig og også sikkert løsning, som også betyder at mange enheder bare kan bruges, og der ikke skal laves nye løsninger.
Men ellers har PHK jo testet telefoner med indbygget sikkerhed.

Min anke gik på at bruge 30 millioner, på noget som man ikke ved er sikkert, da man sikkert bestemmer sig for at "sikkerhed ved hemmeligholdelse" er en del af konseptet. Noget som vi gang på gang har set ikke virke, når virksomheder beslutter sig for at lave sin egen kryptering. Desuden vil det, selv om selve krypteringen virker. Så være så mange andre huller i hardware og software der også skal bruges, at sikkerheden bliver baseret på (over)tro. Noget som er særdeles meget farligere, end at vide at linjen ikke er sikker. Når man ser på sækning af Ubåde i atlanten, og forsøg på erobring af en lille ø i stillehavet.

Penge vil være givet bedre ud, ved at hjælpe befokning med at sikker sig, og udvikle software til alle. I stedet for til politkerne, som åbenbart ikke selv vil være en del af den logning, som de vil udsætte alle os andre for.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017

Xena - an innovative force in testing next-generation communications technology

22. aug 2017