Ett kryptosystems säkerhet bygger sällan på vad kryptologerna säger om huruvida systemet är säkert eller inte. Det handlar snarare om vem det är som vill knäcka systemet, vilken tid de har på sig och vilka resurser och metoder de har till förfogande.
Vi kommer i den här artikeln belysa kryptosystems säkerhet ur angriparens perspektiv, och försöka svara på vilken typ av krypteringsskydd som du behöver för att skydda dina data mot den amerikanske underrättelsetjänsten NSA (National Security Agency) och andra organisationer med liknande syften och resurser.
I juni 2013 avslöjade Edward Snowden, före detta it-konsult hos NSA, organisationens stora övervakningsprogram. Han kunde dessutom belägga sina avslöjande med dokument stulna från hans tidigare uppdragsgivare.
Det värsta ännu inte avslöjat
Under sommaren och hösten 2013 portionerade Snowdens avslöjanden ut, men i slutet av året påstod tidningen The Guardian, som har haft tillgång till det stulna materialet, att man dittills endast rapporterat om en procent av det som Snowden stulit från NSA, och att det ”värsta ännu inte avslöjats”.
Kontroversen i avslöjandet visar hur NSA aktivt försöker lyssna på alla, både allierade och fienden. Förutom att NSA lyssnar kan vi också vara säkra på att de försöker knäcka krypterade data som kommer deras väg. Det väcker frågan om hur man som företag eller enskild individ skyddar sig mot NSA.
Många tror att det räcker med att söka på internet och se om man hittar någon artikel som säger huruvida systemet är knäckt eller inte, och av det dra sina slutsatser om dess säkerhet. Det man bör göra är att vrida frågeställningen och svara på följande frågor:
1. Vem vill läsa mina krypterade meddelanden?
2. Hur mycket resurser: investeringskapital och manskap, är den angriparen beredd att lägga ned på att läsa ett krypterat meddelande?
3. Vilka metoder har angriparen till förfogande för att knäcka meddelandena?
4. Hur länge måste meddelandet vara hemligt?
Svaret på de här frågorna talar om vilket skydd som du behöver. Vi tar ett enkelt exempel: Alice är åtta år och går i andra klass. Hennes lillebror Daniel är fem år. Daniel älskar att reta Alice, eftersom hon blir kär i en ny pojke varje månad.
Daniel försöker på alla sätt och vis få reda på vem som är ”månadens pojke” för Alice. Hon har därför infört ett kryptosystem med vilket hon krypterar namnet på månadens stora kärlek med, vilket gör att Daniel inte kan se vem det är.
Innehållsförteckning
aes, advanced encryption standard: Algoritm som togs fram genom en publik tävling.
des, data encryption standard: Symmetrisk kryptoalgoritm som togs fram av NBS (numera kallat Nist) 1974. EcryptII, European Network of
Excellence in Cryptology II: Expertgrupp tillsatt av Europeiska kommissionen för att inom EU ge riktlinjer för användning av kryptografi.
Foliehatt: Nedvärderande benämning på en person som anammar, sprider och tror på diverse konspirationsteorier. Obefintlig eller bristande källkritik är utmärkande drag.
md5, message digest 5: Standard för att ta fram kondensat av meddelanden.
Nist, National institute of standards and technology: Organisation underställt USA:s handelsdepartement som stödjer den amerikanska staten med bland annat utvärderingar av kryptostandarder.
NSA, National Security Agency: Federal myndighet i USA. Världens största underrättelseorganisation med specialisering mot övervakning och kryptoknäckning.
rsa, Rivest Shamir Adleman: Världens mest använda asymmetriska kryptosystem.
sha, secure hash algorithm: Standard för att ta fram kondensat av meddelanden.
