Schneier: Det er lettere for NSA at spionere på alle end på nogle få

Flere bør kryptere, fordi det tvinger efterretningstjenester til at fokusere deres overvågning, mener it-sikkerhedsguru Bruce Schneier, der netop har talt i København.

Det er bedre at kryptere end at lade være, også selvom du ikke har noget at skjule. Det var et af budskaberne fra den internationalt anerkendte it-sikkerhedsekspert Bruce Schneier under hans indlæg på konferencen hos ‘Digital Threats and Solutions’, som InfinIT har arrangeret sammen med WAYF, DI ITEK og IDA-IT.

Schneier, konferencens hovedtaler, tog sit afsæt i afsløringerne om den amerikanske efterretningstjeneste NSA's overvågningsprogrammer og den tidligere efterretningsanalytiker Edward Snowdens løbende afsløringer af disse.

»Kryptering virker,« lød det fra Schneier, der refererede fra et af Snowdens interviews.

Selvom NSA har et større budget end alle andre efterretningstjenester kombineret, så er de ikke lavet af ‘magi’, påpegede Schneier. Med andre ord, hvis ellers krypteringsalgoritmen er rigtigt implementeret, så er der ikke noget, der tyder på, at NSA kan knække den kommunikation.

»Den dårlige nyhed er, at end-point-sikkerheden er utrolig svag. NSA finder jævnt veje uden om den,« sagde Bruce Schneier.

Problemet er implementeringen, bagdøre, standarder, der bevidst er svækkede og den slags, forklarede Schneier. Og så at folk ikke krypterer deres kommunikation.

Det bør de gøre, lød det fra Schneier. Også selvom man ikke mener, man har noget at skjule for hverken NSA eller USA. For hvis de kan lytte med, så kan andre sandsynligvis også. Eksempelvis Kina, Rusland, it-kriminelle eller andre.

»Jeg vil under alle omstændigheder anbefale kryptering,« sagde han.

Og den anbefaling har også andre formål end at forhindre det, nogle vil betragte som mindre venligtsindede personer eller organisationer i at lytte med på linjen.

Masseovervågning for let

I en lille anekdote fortalte Schneier, at han for nylig havde undersøgt, hvornår han holdt op med at slette mails for i stedet bare at søge den mail frem, han skal bruge. Det var i 2006. Pointen? I dag er det - hjulpet på vej af Moore's Lov om en fordobling af computerkapaciteten hver 18. måned - sådan ca. - lettere (og billigere) at opbevare information, end det er at sortere informationen, og så kun gemme det, der skal bruges. Det samme gælder for efterretningstjenester, påpegede Schneier.

Han fortalte også, at den udvikling er hjulpet yderligere på vej for NSA's vedkommende af terrorangrebet 11. september 2001 mod World Trade Center. Siden har den stående ordre til den amerikanske efterretningstjeneste ifølge Schneier lydt, at noget lignende aldrig må ske igen. Og hvis noget lignende aldrig må ske, så dur det heller ikke at gå glip af nogen information overhovedet.

»Vi har ganske enkelt gjort masseindsamling (af information, red.) for let,« sagde han og fortsatte:

»Vi har skabt en verden, hvor det er lettere for NSA at spionere på alle frem for at fokusere (på enkelte, red.).«

Men, var Schneiers pointe, det er muligt at gøre det sværere at lave masseindsamling af information, nemlig ved at kryptere. Hvis kommunikationen i nettet i udgangspunktet, i chat, mails osv., er krypteret, så kræver det flere ressourcer at indsamle information, og det vil derfor bedre kunne betale sig for efterretningstjenester at fokusere overvågningen mod eksempelvis mistænkte terrorister.

Tiltrækker kryptering ikke uønsket opmærksomhed?

I den forbindelse ville én af konferencens tilhørere gerne vide, om der ikke var en risiko for, at kryptering netop ville tiltrække sig uønsket opmærksomhed fra efterretningstjenester, fordi der er så relativt få, der gør det.

»Jo flere af os, der ikke behøver at kryptere vores data, som krypterer data, jo mindre vil det rejse et rødt flag. Så hvis alle bruger kryptering hele tiden, jo mere normalt bliver det,« svarede Schneier.

Når det er sagt, så er kryptering dog mere en lappeløsning end en løsning på overvågningsproblematikken. For hvilken mailudbyder, hvilken hardware- leverandør eller leverandør af andet it-relateret har ikke indbygget en eller anden form for svaghed, en bagdør eller har en aftale med en efterretningstjeneste?

»Det er problemet. Lige meget hvor god vores teknologi er, så stoler vi i sidste ende på, at virksomheder implementerer den ordentligt,« sagde Schneier.

Så selvom kryptering kan gøre det mere bøvlet at lytte med på alt, så vil det i udgangspunktet være muligt at lytte med for dem, der vil det.

»På kort sigt er det i virkeligheden et spørgsmål om, hvem man har mindst mistillid til,« sagde han.

Hvis overvågningsproblematikken skal løses, så er det derfor ikke nok med teknik og kryptering, det kræver politisk handling, påpegede Schneier, som dog ikke havde noget endegyldigt svar på, hvad der skal ske:

»Vi befinder os midt i et meget stort problem, og jeg har ikke en oplagt løsning.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (2)

Kommentarer (2)
Gunnar Bagge

Hvis kryptering nogensinde skal blive bare nogenlunde almindeligt så skal det være nemt at bruge. Er der nogen ideer til simple løsninger?

Jesper Lund

Hvis kryptering nogensinde skal blive bare nogenlunde almindeligt så skal det være nemt at bruge. Er der nogen ideer til simple løsninger?

HTTPS everywhere er en god start, som ikke kræver noget af dig, andet end opmærksomhed overfor certifikatfejl. NSA, GCHQ, FRA og FE kan stadig se at du læser Version2 (svarende til IP:port metadata), men de kan ikke se hvad du læser. Det kræver selvfølgelig at alle tredjepartselementer på version2.dk også bruger HTTPS, ellers giver det ikke så meget mening.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017