Vem i hela världen kan du lita på?

För dygt ett år sedan publicerade TechWorld en artikelserie som kallades "Lösenordens död", skriven av kryptologen och säkerhetsexperten Mikael Simovits. Den första delen hette "Allt är för enkelt att knäcka" . Det här var innan NSA-bomben hade briserat. Under några års tid hade it-branschen redan börjat diskutera hur pass säkra olika krypteringsalgoritmer egentligen var, och vilka alternativ som fanns. Slutsatsen var att kryptering trots allt var relativt säkert att förlita sig på. Ett av orosmomenten var dock att datorer fick allt större beräkningskraft och därför snabbare kunde gissa sig fram till bristfälliga lösenord och svaga krypteringar. I vissa fall började angripare använda sig av seriekopplade grafikkort. Vi diskuterade alltså främst vad en (förmodat) kriminell angripare hade i sin verktygslåda och varför det var hög tid att se över vilka skydd vi faktiskt använder och hur pass effektiva de är.

Under sommaren smällde det så till rejält, och hela it-världen tvingades omvärdera allt de trott eller inte trott, allt de misstänkt eller allt de trött hade ignorerat. Vi började prata om en kris, och ingen hade någon solklar lösning. Snart uppdagades det också att NSA förmått företag som RSA att bygga svagare krypton, eller att hålla bakdörrar öppna åt amerikanska myndigheter. NSA fortsatte att vara den centrala punkten i diskussionen, och är väl till stor del det fortfarande. Hur ska vi förhindra att vi övervakas? Det var frågan allt fler ställde sig. Men vad gjordes egentligen åt det hela? Några it-jättar röt ifrån, vi svenskar sa att vi möjligen blivit lite mer skeptiska till molntjänster och vi började fundera på om det kanske var bäst att behålla viss information inom landets gränser. Tills vi kom på att inte heller det garanterade vår säkerhet ...

Krypton blev allt mer ifrågasatta. Vissa menade att det i slutändan var ett klent skydd mot NSA:s massövervakning. Andra menade att så länge trafiken på nätet gick att skydda hyfsat skulle vi i alla fall vara säkra. Men som grädde på moset fick vi Windigo-läckan och lite senare Heartbleed. Och igår var det dags för nästa smäll: inte ens Truecrypt, som många förlitat sig på som ett säkert ankare på ett böljande hav, går längre att lita på.

Två frågor dyker spontant upp. Vad, om något alls, går att lita på idag? Och om svaret är det minsta svävande på den frågan uppstår automatiskt fråga nummer två: vad i helskotta ska vi då göra för att skydda vanliga internetanvändare, företag som är rädda om sin information och myndigheter som måste vara hundraprocentigt säkrade mot intrång? Klart är att vi både måste börja tänka annorlunda om vår information och värdera den som vi värderar fysiska ting, samtidigt som branschen tar sitt ansvar och börjar samarbeta kring nya lösningar för autentisering, skyddad kommunikation och lagring. Det är väl önsketänkande alltihop men just nu känns det som om drömmar är bättre än ingenting.