Dansk krypto-ekspert: NSA kan stadig ikke knække dine krypterede data

RSA- og AES-krypteringsalgoritmerne er stadig sikre. Ikke engang NSA kan dekryptere dem. Det vurderer professor Ivan Damgård i kølvandet på Edward Snowdens afsløringer.

Hvis ellers data er krypteret rigtigt, så er adgangen til data også sikret mod uønsket adgang - også mod NSA og andre efterretningstjenester.
.
Det vurderer en af Danmarks førende krypteringseksperter, professor ved institut for datalogi på Aarhus Universitet Ivan Damgård.

I kølvandet på den den tidligere analytiker Edward Snowdens afsløringer af blandt andet NSA's massive overvågning af kommunikation på internettet, er der dårligt gået en dag uden nye historier i medierne om overvågningens omfang. Men trods fortællinger om overvågning af blandt andet central EU-kommunikation, så er der absolut ingen grund til at tro, at NSA eller andre har knækket de grundlæggende krypteringsmetoder, der bliver brugt til sikring af data og kommunikation - snarere tværtimod.

Ivan Damgaard peger på, at de historier, der er været fremme indikerer, at den information, NSA har modtaget om brugere af blandt andet sociale netværk, har været tilgængelig i klar tekst og altså umiddelbart læsbar.

»Næsten alt, hvad vi har hørt, man har lavet, fra NSA's side, det er jo alt sammen noget, hvor man har sørget for at få data i klartekst på forskellige mere eller mindre dubiøse måder,« siger Ivan Damgård, som stiller det retoriske spørgsmål:

»Hvis NSA faktisk havde en computer i kælderen, der kunne bryde al mulig krypteret kommunikation, hvorfor skulle de så gå ud og hente det hos Google og andre steder?«

Læs også: Facebook har udleveret 6 danskere til myndighederne i 2013

Derudover mener den danske krypteringsprofessor heller ikke, der er nogen grund til at være forundrede over, at NSA og andre efterretningstjenester har stukket datasnablen i diverse klartekst-data.

»Jeg tror egentlig ikke, der var særlig mange i branchen, der blev specielt overraskede over, at NSA har en masse kilder, som under hånden giver dem data. Sådan tror jeg da nok, de fleste havde ventet, det var.«

Ivan Damgård peger på, at hvis en efterretningstjeneste ønsker oplysninger om en bruger, ville tjenesten typisk gå efter at kompromittere brugerens computer, hvor en eventuel krypteret kommunikation må formodes at blive dekrypteret, så den kan læses af brugeren.

»Hvis efterretningstjenesterne var ude specielt efter dig, ville man målrette angrebet mod manden og bryde ind på en computer. Det vil man kunne gøre i mange tilfælde, men det har ikke noget med kryptering at gøre,« siger Ivan Damgård.

Så du har fuld tillid til, at krypteringsmetoder som RSA og AES er fuldt pålidelige og ukompromitterede?

»Ja, hvis man bruger krypteringsstandarderne, som man skal, og nøglerne ellers er store nok, så er der ingen grund til at have mistillid til den side af sagen. At der så er mange steder, hvor man bruger uddatererede algoritmer og for små nøgle-størrelser, det er en anden sag. Og det er faktisk et stort problem.«

Det er altså fejlimplementeringer, der er skurken?

»Der er ikke skyggen af tvivl om, at fejlimplementeringer og forkerte nøglestørrelser, det er et enormt problem. Man kan ikke bare kryptere, og så tro, at alt er godt. Det er bestemt ikke lige meget, hvordan man gør,« siger han.

Som eksempel nævner Ivan Damgård en RSA-implementering, hvor produkter af store, tilfældige primtal har vist sig ikke at være baseret på tilfældigt nok udvalgte primtal. Hvis ellers implementeringen er korrekt, så er en nøglestørrelse i forbindelse med AES-kryptering på 128-bit tilstrækkelig, fortæller professoren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Albert Jensen

Det er en misforståelse at tro, at man alene kan forlade sig på stærk kryptering. Igennem de tyske ejere lagde CIA i starten af 1990'erne pres på det scweiziske Crypto AG, der leverede "100% sikkert" krypteringsudstyr til ambassader. CIA tvang Crypto til at medsende nøglen til dekryptering et bestemt sted i bitstrømmen. På den måde kunne CIA læse med i f.eks. kommunikationen mellem det iranske udenrigsministerium og landets ambassader rundt om i verden... Og ambassadekommunikationen i andre lande der brugte Crypto.
Hvor mange af vore dages krypterede kommunikationsformer er forsynet med en sådan bagdør, så efterretningsvæsenet kan læse med uden at skulle bruge større kræfter på dekryptering? Skype havde f.eks. ry for at være sikkert, men er ejet af Microsoft, som følger NSA's anvisninger.
PGP er vist stadig sikkert - hvis man ellers selv checker koden og compilerer den - men derfor har USA også ført langvarige retsager mod PGP's far, Phil Zimmermann.

Casper Bang

Man skal så bare huske, at NSA formeentligt gemmer store udvalgte mængder af data for bestandigt, i håb om at kunne dekryptere det ved en senere lejlighed. Rygterne siger at de har aftaler med de store spillere om at overtage deres private nøgle, når denne udløber - således at NSA kan dekryptere ældre data de måtte have liggende fra en udbyder.

Henrik Eiriksson

@Casper Bang,

Helt sikkert korrekt, men jeg kan bare ikke se at muligheden for at dekryptere historiske data understøtter den forklaring som bliver brugt til at retfærdiggøre den massive overvågning - for jeg tvivler stærkt på at @L Qa3D@ og associerede kommunikerer i klartekst når de planlægger aktioner...?

Johnnie Hougaard Nielsen

En stor svaghed ved SSL er at hvis de private nøgler på en eller anden måde bliver kompromitteret, som fx ved at nogen skaffer sig adgang til dem (NSA har sikkert gode kompetencer der), så kan lagrede krypterede sessionsdata pludselig ganske nemt dekodes, typisk mindst mange måneder tilbage i tiden.

Der er meget få som implementerer PFS, ud over Google. En af grundene er at det koster mere CPU kraft på server-siden.

Jan Ulrich Jensen

Det Kongelige Danske Postvæsen skulle opleve en genfødsel (inklusive en masse nye, prestigefyldte arbejdspladser), hvis vi virkelig skulle sikre privathed. I stedet har Folketinget besluttet at tvinge alle til at modtage offentlige breve digitalt. Dermed har man sikret sig, at alle oplysninger kan indsamles af fx NSA i USA (og dermed Kina og Rusland, hvilket Snowden-lækagen har bevist).

Henrik Kramshøj Blogger

Ja til assymetrisk kryptering. Til symmetrisk (fx AES) kan langt mindre gøre det, da de algoritmer er langt stærkere pr. bit, derfor de 128 der blev nævnt i artiklen.

Spørgsmålet var specifikt til "HTTPS certifikat nøglestørrelse", hvor 4096 typisk anbefales idag, og ja det koster mere CPU, og ja vi har kraftige CPUer og til dit private site kan du ikke mærke forskel - selv Google m.fl. har regnet lidt på det, og det er nok en god ide med lange nøgler.

Til symmetrisk kryptering med hemmelige nøgler er det OK med eksempelvis AES-128 og da symmetrisk også typisk er langt hurtigere (faktor 1000 måske) så genereres typisk en session key, altså en nøgle til en specifik session og denne bruges så istedet.

Transport Layer Security (TLS) and its predecessor, Secure Sockets Layer (SSL), are cryptographic protocols that provide communication security over the Internet.[1] They use asymmetric cryptography for authentication and confidentiality of the key exchange, symmetric encryption for data/message confidentiality, and message authentication codes for message integrity and as a by-product message authentication.

Kilde: http://en.wikipedia.org/wiki/Transport_Layer_Security

Hvis man taler med firmaer som producerer loadbalancere med special hardware får de det altid til at lyde som om 4k nøgler er HELT umuligt at beregne på almindelige CPU'er men så galt er det dog ikke :-)

BTW lidt off-topic men måske relevant, det er begyndt være muligt at lave sin egen HSM til kryptering, alt efter dine krav, som kan indeholde den private nøgle, uden at den programmatisk kan hives ud igen. (men en hjemmebygget vil ikke være tamper-resistant mod fysiske angreb, eksempelvis hvis politiet kommer ind og tager udstyret med) Jeg forudser at mange af de små FPGA boards kunne bruges på denne måde og være langt billigere end kommercielle HSM. HSM er i denne forbindelse http://en.wikipedia.org/wiki/Hardware_security_module

Sune Foldager

Til symmetrisk kryptering med hemmelige nøgler er det OK med eksempelvis AES-128 og da symmetrisk også typisk er langt hurtigere (faktor 1000 måske) så genereres typisk en session key, altså en nøgle til en specifik session og denne bruges så istedet.

Javist, men symmetrisk kryptering genererer ikke nogen session key. Den bruger din nøgle, måske 128 bit, direkte, og laver afhængig af algoritmen nogle round keys ud af den.

Assymetrisk kryptering laver en symmetrisk session key og bruger så den resten af tiden, fordi assymetrisk kryptering er så langsomt. Nå.. jeg er sikker på vi er enige, det er nok bare formulering :).

Henrik Kramshøj Blogger

Assymetrisk kryptering laver en symmetrisk session key og bruger så den resten af tiden, fordi assymetrisk kryptering er så langsomt.

Altså hvis vi absolut skal kneppe små dyr som fluer, så er det vel protokollen som anvender algoritmerne, som foreskriver hvordan de sammensætter det, og ikke den assymetriske kryptering - ligesom det er protokollerne der specificerer hvordan felterne skal placeres osv. osv. ;-)

TL;DR kryptering er supersvært og man skal holde sig fra at implementere det selv :-)

Rasmus Rask

Med det omfattende overvågningsapparat NSA er herre over, er det (desværre) ikke engang nødvendigvis relevant, om de er i stand til at bryde krypteringen:

“Encryption works,” Snowden responded. “Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.”

http://arstechnica.com/tech-policy/2013/06/snowden-in-online-chat-nsa-an...

Ellers er der den gode gamle lo-tech metode:
http://xkcd.com/538/

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize