Krypto-ekspert: Man kan ikke bare have tillid til hængelåsen i browseren

Krypterede forbindelser til din netbank og til online-shoppen er ikke nødvendigvis sikre, påpeger dansk ekspert efter de seneste afsløringer om den amerikanske efterretningstjeneste NSA.

Når du indtaster dine kreditkort-oplysninger i en onlineforretning, og ser hængelåsen eller det grønne HTTPS i din browser, betyder det faktisk ikke, at forbindelsen nødvendigvis er sikker. Det vurderer professor på Datalogisk Institut på Aarhus Universitet Ivan Damgård.

På baggrund af oplysninger fra den tidligere it-analytiker Edward Snowden er det kommet frem, at de engelske og amerikanske efterretningstjenester har kunnet lytte med på kommunikation, der øjensynligt har været krypteret.

Læs også: Avis: 'Projekt Bullrun' gav NSA bagdøre til alle krypteringsmetoder

Den sikre browser forbindelse HTTPS (TLS/SSL), nævnes således specifikt som noget NSA har muligheder i forhold til, i de dokumenter, Snowden har viderebragt til den britiske avis The Guardian.

Af dokumenterne fremgår det blandt andet, at NSA har arbejdet på at svække implementeringen af krypteringsstandarder, så efterretningstjenesten, trods krypteringen, alligevel har kunnet få adgang.

»Der findes TLS/SSL-client og server-software fra en masse forskellige leverandører, og det er jo umuligt at sige lige nu, hvem af dem der har haft en "kammeratlig samtale" med NSA. Jeg tror, der vil dukke noget mere viden op om det i de kommende uger/måneder, men lige nu kan man ikke bare sige at vi skal tillid til enhver TLS/SSL-forbindelse,« skriver han i en mail og fortsætter:

»Det betyder dog ikke, at man så skal lade være med at bruge det. Alt andet lige er sikkerheden bedre med end uden.«

Ivan Damgård mener desuden, at en del af NSA's taktik formentlig har været, at forhale opdateringen af krypteringsstandarder, så uddaterede metoder er blevet brugt længere end de burde. Endeligt understreger han, at der ikke er noget, der tyder på, selve krypteringsstandarderne fejler noget - altså at NSA har knækket dem.

»Nej. Det der er sket er snarere, at man har fået bygget svagheder ind i måden, det er implementeret på.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#7 Thue Kristensen

Bruce Schneier mistænker også, at NSA har et hack til ECC, som ellers opfattes som sikker:

Breakthroughs in factoring have occurred regularly over the past several decades, allowing us to break ever-larger public keys. Much of the public-key cryptography we use today involves elliptic curves, something that is even more ripe for mathematical breakthroughs. It is not unreasonable to assume that the NSA has some techniques in this area that we in the academic world do not. Certainly the fact that the NSA is pushing elliptic-curve cryptography is some indication that it can break them more easily.

  • 0
  • 0
#8 Carsten Jørgensen

Thue: Schneiers tekst om ECC er skrevet inden han kunne fortælle, at han havde adgang til Snowdens dokumenter.

Efter afsløringen skrev han: "The NSA deals with any encrypted data it encounters more by subverting the underlying cryptography than by leveraging any secret mathematical breakthroughs." http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-su...

  • 1
  • 0
#9 Thue Kristensen

I den artikel du linker til står der:

Prefer conventional discrete-log-based systems over elliptic-curve systems; the latter have constants that the NSA influences when they can.

Så det er en anden grund til at undgå ECC; så ECC med ikke-backdoor konstanter kan stadig være sikker. Dog fraråder Schneier stadig ECC.

Så opsumeret: krypteringsstandarderne er muligvis ikke sikre, modsat hvad Ivan Damgård påstår.

  • 0
  • 0
Log ind eller Opret konto for at kommentere