Skrøner i ugens ophedede netdebatter om terror-krypteret kommunikation

Analyse: Der er meget virak om kryptering efter angrebet i Paris forrige fredag. Terroristerne benyttede sig sandsynligvis af krypteret information, men der er alligevel mange teknologiske argumenter imod at forbyde dette.

Det var angiveligt en skrøne, da det i løbet af ugen kom frem, at Paris-terroristerne havde anvendt spillekonsollen PS4 til at kommunikere i ly af efterretningstjenesterne.

Det kan ikke afvises, at det ville være en god ide at anvende en sådan chat, hvor udveksling af aftaler og informationer nemt kan forsvinde i vrimlen af chat mellem millioner af spilbegejstrede brugere.

Historien blev undfanget i verdenspressen, fordi der gik rygter om, at belgisk politi havde beslaglagt en PS4 under en ransagning af et privat hjem.

Det viste sig senere ikke at være rigtigt, men handlede blot om, at den belgiske indenrigsminister mente at vide, at ISIS generelt benyttede sig af online gaming chats. Og den roterende verdenspresse overså i hvert fald, at både smartphones og spillekonsoller er inventar i rigtig mange hjem – hvilket i sagens natur ikke i sig selv er et udtryk for, at man planlægger terror.

Men det ændrer ikke på, at der findes et mangfoldigt udvalg af krypterede kommunikationskanaler at benytte sig af, heriblandt temmelig anonyme chats på spilkonsoller. Og dem gør terroristerne naturligvis brug af.

Læs også: Spillekonsoller, krypteringsapps og e-mail-kladder: Masser af muligheder for lyssky terrorkommunikation

Ifølge en undersøgelse fra it-sikkerhedsfirmaet Flashpoint benytter jihadister sig af kryptering, og det har de gjort længe, også før Edward Snowden for nylig gik ud og anbefalede alle og enhver at kryptere harddiske, mobilsnak, e-mails mv.

Samtidig konkluderer rapporten, at kryptering af chats og instant messaging fra udbyderside er blevet mere udbredt, hvilket måske kan være årsagen til at visse politikere – eksempelvis i Storbritannien – nu overvejer at forbyde kryptering eller i hvert fald kryptering uden bagdøre til efterretningstjenesterne.

Kryptering står ikke i vejen for efterforskning

Diskussionen om kryptoforbud eller påbud af bagdøre går langt tilbage. For godt et år siden beklagede FBI-direktør James Comey sig offentligt over Apples iOS-kryptering.

Og Europols tidligere danske cybercrime-chef Troels Ørting krævede i et interview måneden efter til BBC bagdøre i vores kommunikationssystemer: »I hate to talk about backdoors but there has to be a possibility for law enforcement, if they are authorised, to look inside at what you are hiding in your online world.«

Til Berlingske sammenlignede Troels Ørting stærk kryptering med 'et hus fyldt med tyvekoster, hvor politiet ikke teknisk kunne åbne døren, og det ville vi aldrig acceptere'.

I januar kom det frem, at EU's justitsministre overvejede et krav om at dele krypteringsnøgler til bagdøre i kryptering. Og herhjemme har et flertal i Folketinget bevilget Forsvarets Efterretningstjeneste over 400 mio. kroner i en ny terrorpakke, så de kan blive bedre til at dekryptere.

Hukommelsen synes kort – eller også er både efterretningstjenester og politikere så ivrige efter at vise handlekraft, at de trækker gamle kaniner op af hatten.

Alle kan kommunikere i kode

Men virker bagdøre eller forbud? Hvis man sammenligner med god gammeldags aflytning af telefoner og installering af kameraer, så er der altid det problem, at folk kan kommunikere i semantisk kode, sådan som den danske modstandsbevægelse også gjorde det via BBC under Anden Verdenskrig, hvor man sendte tilsyneladende uskyldige hilsner til bestemte modtagere.

I vor tid kan man også bare som alternativ til kodesprog benytte sig af telefoner med taletidskort, som kan skrottes efter få samtaler, og hvis ophavsmand det er yderst svært for politiet at spore på kort tid.

Og er det overhovedet så problematisk at afkode kommunikation hvis den er krypteret? Næppe. I USA føres der statistik over, hvor ofte kryptering forhindrer indgreb i meddelelseshemmeligheden, altså aflytning.

Kun i 22 tilfælde af aflytninger stødte FBI på krypteret kommunikation, fremgår det af de amerikanske domstoles såkaldte Wiretap-rapport, der årligt opsummerer indgreb i meddelelseshemmeligheden. Og kun i 2 - to - tilfælde ud af de i alt 3.554 aflytninger var krypteringen så god, at man ikke kunne dekryptere hele indholdet.

Men det er sager, hvor politiet har en specifik anledning til at efterforske og overvåge kommunikation. Ser man på masseovervågningen, som bl.a. amerikanske NSA og britiske GCHQ står bag, er det givetvis blevet vanskeligere at opsnappe terrorkommunikation i takt med, at flere chats og mere trafik mellem f.eks. Google og Facebooks datacentre krypteres.

Selv om det kunne være nærliggende at forbyde kryptering i Vesten, vil brugerne altid kunne vælge et kinesisk, iransk eller russisk system, og erfaringerne med at forsøge at forbyde anvendelsen af udenlandske tjenester er dårlige.

Alternativt kan borgerne installere deres egne krypteringsprodukter. Og det vil i praksis være så godt som umuligt at håndhæve et forbud mod sådan adfærd, hvor borgerne sikrer deres kommunikation over sms, e-mails, chat eller telefon.

Læs også: Forsker om kryptoforbud mod terror: »Det svarer til at ville forbyde simpel anvendelse af regning eller matematik«

Efterretningstjenesterne indsamler oplysninger om sikkerhedshuller, såkaldte zero-days, og/eller betaler virksomheder for at svække krypteringen i deres produkter og er også meget aktive i de organisationer, som fastlægger standarder for kryptering.

Læs også: Avis: NSA betalte RSA 55 millioner kroner for at bruge usikker kryptering

Ser man på de indgreb mod kryptering, der har været gennemført, er mange mislykkedes. Tilbage i de tidlige 1990’ere, da SSL blev opfundet ved Netscape Corporation, fastholdt USA et omfattende eksport-regime for at kontrollere krypteringssystemer. Hvis man ville distribuere krypto uden for USA, var det et krav, at virksomheder bevidst ‘svækkede’ styrken på krypteringsnøgler.

Læs også: Bevidst svækket 90'er-kryptering rammer NSA-hjemmeside

Det betød for RSA-kryptering, at den maksimale tilladte nøglestyrke var på 512 bits. Men den sårbarhed vendte tilbage til NSA's egen hjemmeside som en boomerang, idet den kunne bruges til et man-in-the-middle-angreb, fordi nsa.gov som klient kunne tilgå servere med sårbarheden på klientsoftwaren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Kenn Nielsen

Til Berlingske sammenlignede Troels Ørting stærk kryptering med »et hus fyldt med tyvekoster, hvor politiet ikke teknisk kunne åbne døren, og det ville vi aldrig acceptere.«

Så håber jeg at 'nogen' har påpeget at vi forstår han sammenligner med et asylcenter, hvor folk kan se at deres stjålne appleprodukter befinder sig....................

/surt opstød.

K

  • 10
  • 0
#3 Peter Stricker

[quote] Til Berlingske sammenlignede Troels Ørting stærk kryptering med »et hus fyldt med tyvekoster, hvor politiet ikke teknisk kunne åbne døren, og det ville vi aldrig acceptere.« [quote] Hvilken lov er det, der forbyder folk at sikre deres bolig så godt, at politiet ikke kan få adgang uden ejerens hjælp?

  • 12
  • 0
#5 Kristian Sørensen

Til Berlingske sammenlignede Troels Ørting stærk kryptering med »et hus fyldt med tyvekoster, hvor politiet ikke teknisk kunne åbne døren, og det ville vi aldrig acceptere.«

Stærk kryptering er at sammenligne med et hus med dirkefrie låse på alle døre, underboringssikrede vindueshasper og dertil et solidt og godt pengeskab til det allervigtigste.

Vil denne "Troels Ørting" virkeligt have at firmaer og privatpersoner skal leve deres liv i evig frygt for alskens IT kriminalitet?

Tror "Troels Ørting" at politi og stat er så vigtige i folks liv at de vil undlade at beskytte sig bedst muligt mod kriminalitet bare for at gøre arbejdet lidt lettere for Ørting og hans kolleger?

Er det forbigået "Troels Ørtings" opmærksomhed at politi og stat slet ikke er så uskyldsrene dydsmønstre som de skal være før man selv i sin vildeste fantasi kunne forestille sig at give dem bagdøre?

Tænk f.eks. på den måde skattevæsenet agerer på overfor erhvervsliv og borgere. Man kan ikke som ansvarlig person betro en bagdør til sine data, sine penge, sine elektroniske signaturer osv. til den type offentlige foretagender.

  • 6
  • 0
#6 Maciej Szeliga

Hvilken lov henviser Troels Ørting til?

[quote] Til Berlingske sammenlignede Troels Ørting stærk kryptering med »et hus fyldt med tyvekoster, hvor politiet ikke teknisk kunne åbne døren, og det ville vi aldrig acceptere.« [quote] Hvilken lov er det, der forbyder folk at sikre deres bolig så godt, at politiet ikke kan få adgang uden ejerens hjælp?

Jeg vil lige påpege et lille problem i din påstand: Hvis du tænker nærmere efter så kan du slet ikke bygge et hus som er så godt sikret at du ikke kan bryde ind, selv en bunker med flere meter tykke vægge af armeret beton, panserskodder for vinduerne og bankboks dør kan du komme ind i med tilstrækkelig tid og det rette værktøj. Militæret har eksperter til den slags... noget med retningsbestemte sprængladninger og/eller Thermit hvis det skal gå stærkt og en diamantsav hvis du har god tid. Hvis et hus skulle være virkeligt 100% sikkert så ville det kræve aktivt, intelligent forsvar (kanonoer og maskingæverer) med ubegrænset energi og ammunition og dette er ulovligt jf. loven (du må ikke skade en potentiel inbrudstyv).

  • 1
  • 3
Log ind eller Opret konto for at kommentere