Ny EU-rapport: Krypter dine data!

4. november 2013 kl. 13:027
Edward Snowdens afsløringer har fået overvågning og cyber-sikkerhed på alles læber. Nu kommer EU's agentur for cybersikkerhed med sine anbefalinger.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det europæiske bureau for cybersikkerhed - ENISA - tilråder i en ny rapport data-ansvarlige myndigheder og virksomheder at kryptere deres fortrolige data.

Rapporten diskuterer, hvordan brugere med en basal forståelse af informationsteknologi kan anvende kryptering til at beskytte personfølsomme informationer.

Oven på afsløringerne af først NSA´s Prism-program og senest overvågningssystemet Muscular er kryptering og databeskyttelse kommet massivt på dagsordenen hos både virksomheder og myndigheder.

Og nu har vigtigheden af at kryptere altså fået det blå/gule EU-stempel. I rapporten lyder det blandt andet:

Artiklen fortsætter efter annoncen

»Kryptering kan give et vigtigt lag af data-beskyttelse, hvilket kan mindske konsekvenserne af indbrud. De relevante aktører (data-myndigheder, statslige myndigheder og service-udbydere) bør anbefale deres brugere at benytte sikkerhedsmekanismer til beskyttelse af persondata, ligesom de selv bør have den bedst tilgængelige beskyttelse.«

Du kan hente hele rapporten her

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
4. november 2013 kl. 15:59

Ulovlig overvågning vil foresætte indtil man lovgivningsmæssigt begynder indbygge borgerbeskyttelse i de ting vi bruger.

F.eks. kunne EU pålægge at alle mobiletelefoner som anvendes i EU efter en hvis dato, skal have indbygget automatisk krypterings modul af open source slagsen med public key/secret key, således at mobiltelefonen automatisk krypter al kommunikation.

I praksis kan det gøres via en softwareopdatering til smartphones. Altså stort set gratis!

Efter yderligere et år skal adgang til mobilenettet nægtes for smartphones uden kryptering.

Kommer det til at ske? Nej det gør det ikke!

Officielt fordi det vil umuliggøre ”lovlig overvågning” godkendt af en dommer. Uofficielt fordi ingen regering ønsker at borgerne beskytter sig imod egne eller ”venlige” regeringers overgreb.

Den lille bandit af smartphone giver udover banal aflytning så gode meta oplysninger om hvordan vi bevæger at en reel nedlukning af denne datakilde – vil give kuldegysninger i politi, efterretningstjenester mv.

3
4. november 2013 kl. 14:43

Endnu en grund til at anvende open source. Der er det svært at lægge en bagdør ind, der ikke kan afsløres.

1
4. november 2013 kl. 13:27

Nu er jeg langt fra ekspert... Men er kryptering ikke ligegyldigt, når de sandsynligvis alligevel har alle krypteringsnøglerne :-)

4
4. november 2013 kl. 14:46

Nu er jeg langt fra ekspert... Men er kryptering ikke ligegyldigt, når de sandsynligvis alligevel har alle krypteringsnøglerne :-)

Hvis du selv generere dine nøgler med fx gnupg, og den computer du gør det på aldrig bliver forbundet til noget net, så har du dem for dig selv (undtagen fysisk indbrud, hemmelig transmitter etc). Bruce Schneier skrev I bought a new computer that has never been connected to the internet, og håber så det er nok til at have den private nøgle for sig selv.

Hvis der er bagdøre i gnupg, så vil de en dag blive fundet af nogen, og så er der millioner servere der har et alvorligt problem. Sandsynligvis også nogen hos NSA.

2
4. november 2013 kl. 13:41

Jo, så vidt jeg husker så var en af Snowdens afsløringer, at NSA har indbyggede bagdøre i alle de gængse krypteringsprotokoller. Så er det vel næppe besværet værd. Med mindre selvfølgelig man vil beskytte sig mod kineserne, der nok ikke i samme grad har bagdøre.

7
5. november 2013 kl. 10:04

Jo, så vidt jeg husker så var en af Snowdens afsløringer, at NSA har indbyggede bagdøre i alle de gængse krypteringsprotokoller. Så er det vel næppe besværet værd

Emnet er ærligt talt for vigtigt til, at det skal gå på upåtalt hen, når folk spreder misinformation. Her er hvad Bruce Schneier sagde i forlængelse af Snowden-afsløringerne om kryptografi:

How do you communicate securely against such an adversary? Snowden said it in an online Q&A soon after he made his first document public: "Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on."</p>
<p>I believe this is true, despite today's revelations and tantalizing hints of "groundbreaking cryptanalytic capabilities" made by James Clapper, the director of national intelligence in another top-secret document. Those capabilities involve deliberately weakening the cryptography.</p>
<p>Snowden's follow-on sentence is equally important: "Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it."</p>
<p>Endpoint means the software you're using, the computer you're using it on, and the local network you're using it in. If the NSA can modify the encryption algorithm or drop a Trojan on your computer, all the cryptography in the world doesn't matter at all. If you want to remain secure against the NSA, you need to do your best to ensure that the encryption can operate unimpeded.

Det er en vild overdrivelse at påstå, at NSA har "indbygget bagdøre i alle de gængse krypteringsprotokoller". NSA har indbygget en svaghed i én algoritme til generering af tilfældige tal - den såkaldte Dual_EC_DRBG, som bruges i visse implementeringer af elliptisk kurvekryptografi. Af samme grund spekulerer flere i, at de tre NIST-autoriserede kurver til brug i ECDH og ECDHE (nøgleudveksling baseret på elliptisk kurvekryptografi) kan være kompromitterede.

Tilsvarende er den RC4-kryptering, som rigtig mange browsere og webservere i dag bruger som foretrukken krypteringsalgoritme så svækket, at den af flere anses for at være usikker.

Endelig er der forlydender om, at NSA har opsnappet private "master"-nøgler fra centrale udbydere af internet-tjenester i USA og andre lande.

Det er imidlertid langt fra ensbetydende med, at man lige så godt kan opgive at forsvare sit privatliv.