Att kryptera lokalt lagrad data har blivit mer efterfrågat av både privatpersoner och företag, men brister i implementationen av krypteringsprotokoll gör att tjänsterna riskerar att bli mer av ett pynt än vägen till robust säkerhet, det menar säkerhetsföretaget Sophos i sin senaste rapport om läget för it-säkerheten under 2015.
Frågan om kryptering har de senaste veckorna fått större uppmärksamhet än vanligt efter terrorattackerna mot den franska satirtidningen Charlie Hebdo, då Storbritanniens premiärminister David Cameron uttryckte en vilja att förbjuda internettrafik som inte kan avlyssnas. Ett förslag som fått mycket stark kritik från säkerhetsexperter, eftersom krypterad trafik är grundläggande för säkerhet och integritet.
Läs också: Så blir framtidens kryptering
Diskussionen om krypterad trafik kommer säkerligen att gå varmare, men den lokala krypteringen kan allt mer komma att ta plats. Enligt Sophos krypterar en allt större del av appar för Android sina data lokalt och när de kopplar upp mot internet. Samtidigt varnar de för att det inte nödvändigtvis innebär bra säkerhet.
Det är nämligen inte ovanligt att implementeringen sviktar, Sophos befarar därför att kryptering kan komma att bli ett marknadsföringsknep snarare än ett ärligt försök till bättre säkerhet.
Dragkampen utkämpas av säkerhetsexperter och terroristjagande makthavare, medan företagen säljer biljetter till föreställningen.
Experterna svarar:
Anne-Marie Eklund Löwinder är säkerhetschef på stiftelsen för internetinfrastruktur, Punkt SE.
Tror du att man kommer att använda diskkryptering i allt högre grad?
– Det är väldigt många just nu som pratar om behovet av kryptering i en mer generell tillämpning, det vill säga att man krypterar allting, och det är en modell man har velat se de senaste tjugofem åren. Om man väljer vad man krypterar avslöjar ju det samtidigt vad som är viktigt.
David Camerons förslag mottogs med ilska från många experter, vad kan säkerhetsexperter göra för lösa konflikten?
– Konflikten mellan säkerhetsexperter och myndigheter är inte på något sätt ny, det känns som att David Cameron lider av historielöshet eftersom det här var en stor debatt i hela Europa på nittiotalet. Slutsatsen då var att alla har rätt att använda kryptering.
– Det är i första hand inte bovarna som drabbas av sådana här förslag, utan de är de som har fullt legitima intressen att försvara och som borde ha all rätt i världen att kryptera.
Joachim Strömbergson är vd på Secworks och har arbetat länge med kryptering i alla dess former.
Hur bra är utvecklare på att implementera kryptering i lagring och trafik?
– Det bli mer sällsynt att utvecklare använder sina egna krypton och istället går över till beprövade standarder som redan finns. Ett av skälen är marknadsföringen, då kan man visa vilken standard man använder, och kunderna kan läsa på vad de innebär.
Hur ser du på högljudda krav på svagare kryptering runt om i världen?
– Jag ser det som mycket oroande att regeringar har sådana idéer, och skulle inte bli förvånad om sådana tankar dyker upp i Sverige. Ett av de riktigt stora hoten mot det civila samhället idag är att myndigheter får för sig att begränsa kryptering.
– Kryptering är någonting som alla använder i sin vardag, och det som man vill stoppa är det enda skyddet vi har mot till exempel organiserad brottslighet. Det går inte att bara förbjuda viss kryptering, eftersom man då förbjuder vissa typer av matematiska beräkningar.
Hur mycket påverkar terrordåd som det i Frankrike säkerhetsbranchen?
– FRA-lagen infördes för att kunna lyssna av medborgare, men om man tittar på terrorattackerna i Paris, så hade man mycket information på de här personerna, men lade ner övervakningen. Förbjuder man kryptering så försämrar man hela samhället, men man hittar inte så mycket mer information.
Vad kan ni säkerhetsexperter göra för att påverka och utbilda politiker?
– Många politiker begriper inte hur djupt rotat kryptering är och hur viktigt det är för att samhället ska fungera. Det finns ett stort utbildningsarbete att göra, och vi är många som försöker, men ibland blir man lite ledsen och rädd, faktiskt.
– Sen kan man se att det finns motreaktioner, som organisationen IETF som sätter standarden för hur internet fungerar, de antog i höstas ett dokument som fastslog att all övervakning är ett hot mot internet.
