Har den kryptering, vi allesammen bruger, en bagdør?

Illustration: profit_image/Bigstock
AES-krypteringsalgoritmen, der bliver brugt alle steder, er i udgangspunktet til at stole på, mener flere med indsigt i området. .

Uanset om du opretter en sikret HTTPS-forbindelse til netbanken eller krypterer data på din pc og mobiltelefon, så foregår det med al sandsynlighed via AES (Advanced Encryption Standard), som er standardiseret af USA. Men kan vi egentlig stole på krypteringen?

Forleden fortalte Version2 om, hvordan der kan være bagdøre i den matematik, der danner grundlaget for krypteringen. Sådan en bagdør kan i princippet gøre det muligt for en modstander at dekryptere data uafhængig af den underliggende software-implementering på eksempelvis Android, MacOS, Linux, Windows, Firefox, Chrome etc.

Læs også: Når bagdøren ligger i matematikken

På it-sikkerhedskonferencen Black Hat Europe, der fandt sted i London i december, fortalte Eric Filiol om matematiske bagdøre i kryptering. Han er forskningschef ved Operational Cryptology and Virology Lab ved det franske ESIEA-universitet (École Supérieure d'Informatique, Électronique, Automatique) i Paris.

For at demonstrere, at den slags ikke bare er ren teori, har han sammen sammen med Arnaud Bannier lavet en proof-of-concept-algoritme kaldet BEA-1, som indeholder en bagdør. En angriber med kendskab til bagdøren kan få fat i krypteringsnøglen ud fra 300 kB data i klartekst og 300 kB af de tilsvarende data i krypteret format.

Da Version2 interviewede Eric Filiol på Black Hat, pointerede han, at sådan en bagdør i matematikken ikke nødvendigvis er lige til at få øje på. I hvert fald skulle det ikke være lykkedes nogen af finde bagdøren i BEA-1 i perioden fra algoritmen blev præsenteret i februar 2017 og frem til Filiol selv løftede sløret for bagdøren på Black Hat i december.

I forbindelse med interviewet antydede Eric Filiol også, at AES kan vise sig at indeholde en bagdør i matematikken, som ikke er blevet opdaget, og som amerikanerne kender til.

Intet er dog bevist, men det er i sig selv ingen garanti, mener Filiol.

»Vi erstatter beviset for sikkerhed med fraværet af beviset for usikkerhed. Til følsom trafik kan dette ikke accepteres.«

Når AES bliver anvendt alle steder, så hænger det ifølge Filiol i høj grad sammen med, at det er den standard, som de amerikanske teknologi-giganter anvender. Dermed er krypteringsstandarden i den hardware og den software, vi alle sammen er brugere af.

For at skabe alternativer til AES efterlyser Filiol et open source-community med fokus på udvikling af kryptering.

»Vi har behov for open source-kryptografi. Indtil nu har open source været relateret til software. Jeg mener, vi nu har behov for at open source-udvikle matematiske ting og kryptografi.«

To belgiere

Professor ved Institut for Datalogi på Aarhus Universitet og ekspert i kryptologi, Ivan Damgård, mener i udgangspunktet, der er grund til at stole på AES.
Han hæfter sig blandt andet ved algoritmens ophavsmænd, de to belgiere Vincent Rijmen og Joan Daemen.

Deres algoritme, vandt en konkurrence-lignende proces, som fandt sted i regi af den amerikanske standardiseringsorganisation National Institute of Standards and Technology (NIST) sidst i 90’erne.

Forskere fra forskellige lande kom med kandidater i form af krypteringsalgoritmer, som bud på, hvad der skulle blive til Advanced Encryption Standard.

De to belgiere Vincent Rijmen og Joan Daemen vandt med algoritmen Rijndael - et navn der er sammensat af ophavsmændenes navne.

»Den er udviklet af to belgiere, som efter min bedste overbevisning ikke er i lommen på de amerikanske myndigheder, jeg kender lidt til dem begge. Ydermere er standarden præcis det, de foreslog, der er ikke ændret noget som helst,« lyder det i et skriftligt svar fra Ivan Damgård med henvisning til, at den kryptering, der endte med at blive godkendt som standard, er i overensstemmelse med belgiernes oprindelige input.

Med andre ord tyder intet på, der er listet en bagdør ind fra belgierne har afleveret deres bud, og til at det er blevet gjort til den standard, som i dag er godkendt til sikring af fortrolige data på højt niveau i USA.

Derudover peger Ivan Damgård på, at hele forløbet, hvor Rijndael endte med at blive til AES, har været åbent.

»Og endelig er valget af algoritmen jo foretaget efter en åben konkurrence kørt at NIST, det amerikanske standardiseringsorgan, hvor alle der havde lyst kunne forsøge at bryde de algoritmer der var med i konkurrencen. Man skal huske, at de folk der var med dels var nogen af dem, der ved mest om kryptoanalyse, og samtidig havde de jo stærke incitamenter til at bryde konkurrenternes forslag.«

»Fantastisk vildt og fuldstændigt syret«

En af dem, der i den forbindelse har haft et incitament til at bryde konkurrenternes forslag, er professor ved DTU Compute Lars Ramkilde Knudsen.

Han deltog nemlig også i NIST-konkurrencen med algoritmen Serpent, som kom på en andenplads. Og Lars Ramkilde Knudsen har da også gået AES efter i sømmene.

»Algoritmen AES er lavet af to belgiere, som jeg kender personligt. Det er mine personlige venner. De har ikke lagt en bagdør ind, det kan jeg love dig for. Jeg delte kontor med dem, dengang de lavede den algoritme, jeg ved hvordan den virker,« siger Ramkilde og tilføjer:

»Jeg er også ekspert inden for dette område, der er ikke en bagdør i AES. Hvis der er en bagdør i AES, så kan amerikanerne et eller andet fantastisk vildt og fuldstændigt syret, som vi ikke kender til,« siger Lars Ramkilde Knudsen.

Kunne man forestille sig, at der sidenhen er fundet en svaghed i AES, så selvom de to belgiere ikke har haft ond vilje på noget tidspunkt, så er der måske nogen, der kender til noget?

»Jeg tror ikke på det. Det er klart, at de er stærke i NSA, matematikerne. De er nogle år foran os. Selvfølgeligt kan de noget.«

Lars Ramkilde Knudsen peger på, at svage kodeord, opsnapning af krypteringsnøgler og afpresning i forhold til at få folk til at udlevere kodeord er mere sandsynlige måder, hvorpå en angriber vil kunne opnå adgang til krypterede data, end at der skulle være en hemmelig svaghed i AES, som nogen kender til.

»Vi ved, at efterretningstjenester ikke angriber krypteringsalgoritmer mere - i hvert fald ikke, når det er AES. De angriber nøglehåndteringen. Altså hvordan nøglerne bliver valgt, og hvordan de bliver udvekslet. Om du har verdens stærkeste kryptering, hvis du ikke udveksler din nøgle sikkert mellem A og B, så nytter det ikke noget,« siger Lars Ramkilde Knudsen.

Selvom DTU-professoren i udgangspunktet har tillid til AES, så er han dog umiddelbart enig med Eric Filiol i, at det vil være fint med flere alternativer til AES.

Ramkildes argument er, at hvis der reelt blev anvendt flere forskellige former for kryptering, så ville krypteringstypen ved opsnapning af data først skulle identificeres, før forsøg på at knække krypteringen kunne begynde.

»… mindst to eller tre parallelle algoritmer«

Version2-blogger med indsigt i it-sikkerhed Poul-Henning Kamp mener også, det ville være fint med flere alternativer til AES. Eksempelvis hvis der viser sig at være en svaghed i den allestedsnærværende krypteringsstandard.

»Der bør være mindst to eller tre parallelle algoritmer, således at vi kan slukke for en af dem, hvis der bliver problemer, og man burde vælge en tilfældig algoritme for hver kommunikation,« skriver Poul-Henning Kamp i en mail.

Bortset fra det, så har Poul-Henning Kamp det i udgangspunktet fint med at bruge AES til det meste.

»Men hvis det drejede sig om kommunikation mellem regeringens medlemmer, forsvarsstaben, beredskabet, diplomatiet osv, ville jeg ikke turde bruge AES alene, jeg ville som et minimum lave tolags kryptering.«

Som sådan mistænker Poul-Henning Kamp ikke de to belgiske ophavsmænd til AES for bevidst at have indbygget en bagdør, men han peger på, at en efterretningstjeneste kunne have fundet en svaghed.

»Den største risiko er formodentlig, at NSA, KGB, Mossad, GCHQ osv. har gennemskuet noget smart,« skriver Poul-Henning Kamp og fortsætter:

»NSA har efter alt at dømme mindst 100 gange så mange kryptografer ansat som der er i den åbne forskning på verdensplan, og det ville være totalt inkompetent ledelse, hvis de ikke havde brændt hundredevis af årsværk af på at stirre skeptisk på AES.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Svend Nielsen

AES betragtes af mange som følsom for sidekanal angreb, dvs. angreb som ikke er rettet imod selve den krypterede tekst, men imod det system kodeningen kører på.
Det forudsætter, at man har adgang til det krypterende system, dvs. at man kan eksekvere kode på den pågældende enhed (f.eks. indlagt via virus). Selv simpel eksekvering som ikke kræver f.eks. root rettigheder kan bruges.

I 2005 lykkedes et sidekanal angreb imod en OpenSSL AES maskine (D.J. Bernstein angrebet), som udnyttede, at man med et simpelt program på serveren kunne måle små variationer i eksekveringstiden, og dermed (ved at sende store mængder data igennem krypteringen), kunne måle sig frem kodenøglen.

I 2010 viste er række matematikere (se: https://eprint.iacr.org/2010/594.pdf ) hvordan man ved at angribe cachen (i den maskine som foretager krypteringen), næsten i real tid kan regne AES nøglerne ud.

Så selv om AES kryptering givetvis er sikker, så er den tilsyneladende nem at hacke, hvis man først har adgang til det system som afvikler algoritmen. Man kan selvfølgelig argumentere, at har man først adgang til et system, så kan alt lade sig gøre - og det er jo et eller andet sted rigtigt. At det så åbenbart ikke er særlig svært at udnytte adgangen til at få meget sikrede oplysninger ud, er en anden sag.

  • 5
  • 0
Martin Kirk

Jeg husker at da Bitcoin begyndte at blive populært var der en anden mønt som stod som alternativ: Litecoin.

Folk som fandt på LiteCoin benyttede SCrypt i deres algoritme i modsætning til SHA256 som benyttes i Bitcoin.

SHA256 er som bekendt opfundet af NSA..

Folk bag LiteCoin stoler ikke rigtigt på SHA256, NSA og myndhederne - og valgte derfor en algoritme de stolede mere på.

At der så også er forskel på hvordan de to kan optimeres op imod hardware var så en anden sag. SHA256 fungere rigtig godt på GPU'er og ASIC's hvorimod Scrypt kræver nogle længere kæder af operationer som kun virker på CPU'er.

Men det er jo lidt interessant hvis SHA256 måske skulle have en bagdør - det virker jo oplagt når det er NSA der har fundet på den.

  • 1
  • 0
Povl H. Pedersen

er troværdige, så kan det godt være at amerikanerne har en ud-af-boksen nørd der allerede inden valget har gennemskuet matematikken.
Så det er lidt den med, at manglende bevis for usikkerhed ikke er lig sikkerhed.

Men som der står, sårbarheden ligger ofte andre steder end algoritmen, og det kan være alt fra valg af nøgler / PRNG, nøgleudveksling til sidechannel angreb, herunder de seneste meltdown etc.

AES-256 er jvt. Bruce Schneier svagere end AES-128, de den kun har en kompleksitet på 2^119. AES-192 = 2^176.
https://www.schneier.com/blog/archives/2009/07/another_new_aes.html

Så AES er ikke uden fejl.

  • 2
  • 0
Jan Heisterberg

Der er ikke megen beviselighed i artiklen, og diverse personers personlige kendskab er da i bedste fald kun beroligende.

Har vi ikke i de sidste to uger hørt om ladeporte, som åbner adgang til data gennem sårbarheder i udbredt HW (processorer). Svagheden har eksisteret, står der, siden 2007. Så hvem ved ?

Og husk lige:
"Absence of proof is not proof of absence".
Så hvem ved ?

  • 2
  • 0
Gert G. Larsen

Helt enig i at skepsis er sundt. Bare vi passer på ikke at blive for konspirationsteoretiske. Nogle gange tror jeg vi kommer til at tillægge for mange kompetencer og hensigter, til NSA m.fl.

Men et rigtig godt spørgsmål; hvad gør vi hvis krypteringen ikke er sikker nok, eller hvis vi bliver ramt af sidechannel-angreb (f.eks. meltdown, spectre, m.fl.) ?

  • 1
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize