Efter at have hørt en spændende udsendelse på P1 om spionage, er jeg kommet i tanke om en ældre historie omkring skjulte bagdøre i software.

Krypteringssoftwaren PGP (Pretty Good Privacy) havde for år tilbage en tvist med de amerikanske myndigheder. Noget med at softwaren ikke måtte eksporteres, fordi krypteringen var alt for vanskelig at komme uden om for den amerikanske efterretningstjeneste. Der var med andre ord tale om eksportrestriktioner...

Hvis myndighederne kan kræve der findes en bagdør i software, så som operativsystemer og internet browsere, så må disse bagdøre også findes i MS Vista, Unix og Linux?

Er software producenten ikke forpligtiget til at oplyse kunden om, at myndighederne evt kan aflure den enkeltes private eller fortrolige data? Hvordan forholder virksomheder sig til denne mulighed for at miste hemmelige data om forskning og produkt udvikling?

Venlig hilsen Nicholas Colding

#1 Per Michael Jensen

Eksportrestriktionerne på PGP blev omgået ved at kildekoden blev trykt i en bog. Bogen kunne lovligt sælges udenfor USA. Kildekoden blev så indscannet og korrekturlæst udenfor USA.

Hvis der er lovkrav om bagdøre o.l., så må det jo stå i en lov, som er offentliggjort. Så havde vi nok hørt om det.

Det er nok mere lyssky aftaler med efterretningstjenester, der er ubehagelige. Aftaler der gør at data er mindre beskyttede end formodet.

Der var engang en sag om et schweizisk firma der lavede krypto-udstyr. Deres 128bit kryptering var reelt kun 56bit - angiveligt havde de lavet en 'lokumsaftale' med CIA.

Microsoft havde i lang tid en USA- og en eksportversion af SSL DLL'en til Internet Explorer med hhv. 128 og 56 bit kryptering svjh. Nu er der kun en DLL. Hmmm

Jeg formoder at bevidst lavede bagdøre m.m. er vanskelige at skjule i open source kode, i og med at der er flere uafhængige øjne. Men jeg er heller ikke i tvivl om at det er muligt at snige noget ind. Se f.eks: http://underhanded.xcott.com/?page_id=9

  • 0
  • 0
#6 Jimmy Frydkær Dürr

Lovkrav eller ej - kryptering er lovlig i Danmark, og som sådan beskyttet af person-data-loven. Ingen kan forhindre dig i at kryptere data på dit computersystem/netværk. Og skal du "tvinges" til at åbne eventuelle filer for politiet, kræver dette, så vidt jeg ved, stadig en dommerkendelse. Reglerne er, efter hvad jeg kan se meget broget på området. For det er klart, at det afhænger af, hvad du har krypteret, for at myndighederne overhovedet skal interessere sig for dine data. I tilfælde af en anmeldelse vil jeg tro, at politiet, så fremt de skulle ønske adgang til filerne på dine diske stiller med en kendelse inden de møder op.

Kører du GNU/Linux bruger du dagligt PGP keys på dit system, da Linux bruger disse til at verificere software-kilder/Repos.

  • 0
  • 0