Allt mer av våra data – både i rörelse och i vila – krypteras, och allt oftare sker det automatiskt, enligt Jonas Lejon, it-säkerhetsexpert i egna företaget Triop.
– Det är en tydlig trend att krypteringen sker allt mer transparent och sömlöst, så det inte alltid är uppenbart för användaren att det sker. Exempelvis är krypterad hårddisk standard i Apples nya operativsystem Yosemite, och sms skickas allt oftare krypterat utan att man behöver göra något, säger Jonas Lejon.
Hittills krångligt och dyrt
Även Michael Westlund, it-säkerhetskonsult och delägare i konsultföretaget Omegapoint, tror att vi kommer få se kraftigt ökade inslag av kryptering i både hårdvara och mjukvara i framtiden.
– Hittills har det varit krångligt och dyrt att använda krypton, och många har avstått på grund av insatsen som krävts. Men nu när det blir allt enklare och billigare är utvecklingen mot mer kryptering ostoppbar, säger Michael Westlund.
Och krypton kommer inte bara att användas för att hålla information hemlig, utan även för att garantera autenticitet och integritet, enligt Tina Lindgren, doktor i informationsteori och informationssäkerhetskonsult på teknikkonsultbolaget Combitech.
– Både på internet och i industriella system blir det allt viktigare att man kan se vem informationen kommer ifrån och att informationen inte har ändrats, säger Tina Lindgren.
Allt fler blir medvetna
Även Mikael Ejner, it-säkerhetsspecialist på Datainspektionen, är övertygad om att efterfrågan på kryptering kommer att fortsätta öka.
– Det pågår en medvetandehöjning om att all internettrafik är eller kan vara avlyssnad, säger Mikael Ejner.
Michael Westlund ser två huvudfördelar med kraftigt ökad användning av kryptering i framtiden. Den ena är att när bara det som verkligen är skyddsvärt krypteras sticker det ut och drar uppmärksamhet till sig.
– Då kan angriparen lägga alla sina resurser på det, men om vi krypterar väldigt mycket är det svårt för någon att veta vad som är skyddsvärt på riktigt, säger Michael Westlund.
Den andra stora fördelen är att ökad kryptering minskar möjligheterna till massavlyssning, anser han.
– I dag är vi utsatta för omfattande kartläggning av myndigheter och företag. De lyssnar i många fall passivt, gör trafikanalys och tittar på innehållet, och kan få fram väldigt mycket information. Vi i västvärlden är vana att kunna lita på staten, men det gäller inte i många av världens länder, säger Michael Westlund.
Används för dunkla syften
Alla ser inte bara fördelar med ökad kryptering. Niclas Molander, ansvarig för nätverksföretaget Ciscos säkerhetsgrupp i Sverige, är en av dem som ser stora problem.
– Redan i dag används kryptering flitigt av dem som står på fel sida av lagen. Malware infekterar en organisation och sedan skickar man ut känslig information från företaget genom att kryptera uttrafiken. På så sätt slår man ut brandväggar och alla andra traditionella säkerhetsprodukter, säger Niclas Molander.
Om företaget inte krypterar sin egen vardagstrafik kan tjuvarnas krypterade strömmar enkelt upptäckas, enligt Niclas Molander.
– Vi på Cisco tror på öppenhet för att kunna inspektera trafiken. Vi är mycket för att detektera och se förändringar i trafikmönstret, och på så sätt upptäcka problem tidigt. Men självklart måste det här vägas mot behovet av att hålla viss information säker mot avlyssning, säger Niclas Molander.
Krånglar till felsökningar
Ökad kryptering påverkar även den framtida it-teknikerns jobb, tror Jonas Lejon.
– Allt blir mer komplext när det rör sig om kryptering. Exempelvis blir felsökning krångligare när nätverket är krypterat som standard. Dessutom är en kryptoinfrastruktur inget man snyter ur näsan, säger han.
Det finns de som vill se lagliga begränsningar i hur kryptering får användas. Den främsta orsaken är en vilja att göra det enklare för säkerhetstjänster att hitta terrorister och andra grova brottslingar, enligt Michael Westlund.
– Men när David Cameron säger att vi ska förbjuda kryptering visar det att han inte är intresserad av integritet, och inte förstår att vi behöver kryptering av legitima skäl, säger Michael Westlund.
Han ser det här och liknande utspel som historielösa. Exempelvis hade Frankrike tidigare en av de mest restriktiva kryptolagstiftningarna i världen, men den skrotades delvis på grund av misstankar om att USA stal franska företagshemligheter och gav till amerikanska företag, enligt Michael Westlund.
Svårt att tvinga fram nycklar
Tina Lindgren tror att skulle vara svårt att begränsa användandet av kryptering med hjälp av lagar. Det blir också svårt att med lagens hjälp tvinga till sig kryptonycklar i framtiden.
– För att komma åt brottslingar med lagens hjälp på det här sättet måste straffen vara så oerhört stränga för dem som bryter mot lagarna, mycket strängare än för de misstänka brotten, annars kommer brottslingarna bara att strunta i lagarna, säger Tina Lindgren.
Hon tror att myndigheterna i stället kommer fortsätta på den väg som många utomstående är övertygade om att de redan har valt: att se till att det finns bakdörrar. Michael Westlund håller med:
– Det finns starka indicier som tyder på att NSA har infört svagheter i standarderna när de varit med och utvecklat nya algoritmer för kryptering. Ett av problemen med det här är att bakdörrarna även kan användas av brottslingar. Därför måste vi vara väldigt noggranna när vi väljer kryptoalgoritm, så att sannolikheten är så liten som möjligt att det finns en bakdörr, säger Michael Westlund på Omegapoint.
Han anser att det även är troligt att myndigheter kommer övertala leverantörer att bygga in bakdörrar i själva produkterna. Tina Lindgren håller med.
– Ett sätt att försöka skydda sig mot bakdörrar är att välja produkter som bygger på öppen källkod, eftersom oberoende personer har möjlighet att granska dem, säger hon.
Gråsvart marknad för sårbarheter
Den allmänna granskningen gör även öppna och transparenta lösningar till ett bra val för den som vill försöka undvika sårbarheter som beror på rena misstag, anser Michael Westlund. Men det finns inga garantier för att publika system alltid är bättre.
– Det kan vara så att någon som hittar en sårbarhet i ett publikt system inte talar om det utan behåller kunskapen för sina egna syften. Det finns en gråsvart marknad för att sälja sårbarheter, säger Michael Westlund.
Jonas Lejon på Triop tror att allt fler företag i framtiden blir öppna med hur deras kryptolösningar fungerar.
– Dessutom kommer vi själva sitta på nycklarna om tio år. Vi kommer inte längre lita på leverantörerna, säger Jonas Lejon.
Duktig underrättelsetjänst
Pia Gruvö, chef för avdelningen för krypto och it-säkerhet vid Militära underrättelse- och säkerhetstjänsten, är en av dem som inte väntar till framtiden med att misstro kommersiella kryptolösningar.
– Om man ska skydda sig mot den hotbild som vi arbetar med, det vill säga en duktig främmande underrättelsetjänst, så måste man bygga mycket säkrare produkter än de som finns kommersiellt tillgängliga. Vi förutsätter att det kan finnas bakdörrar i kommersiella produkter, säger Pia Gruvö.
Försvarsmakten beställer och granskar därför egna system för Totalförsvaret, som inte vem som helst får köpa.
– Hundraprocentig säkerhet finns inte, men våra produkter är så säkra som det går och ska garantera informationssäkerheten i femtio år. Det tar tid och är svårt att ta fram den här typen av produkter, och det är för dyrt för kommersiella leverantörer att vara lika bra, säger Pia Gruvö.
Det här kan vara ett problem för företag med åtråvärda företagshemligheter, tror hon.
– Det är svårt att veta vilket skydd man får med kommersiella produkter. Skyddsbehovet beror också på hur mycket jobb motståndaren är beredd att lägga ner, säger Pia Gruvö.
Men det är inte bara osäkra produkter som är potentiella skvallerbyttor i framtiden. Handhavandefel är ett minst lika stort potentiellt problem, tror Louise Yngström, professor emerita i data- och systemvetenskap.
– Den största sårbarheten med alla krypton är användaren, säger Louise Yngström.
Tina Lindgren på Combitech vill inte gå riktigt så långt, men anser att det kan bli stora problem framöver om användaren exempelvis struntar i att slå på krypteringen, väljer ett för enkelt lösenord eller tappar bort mobilen med alla lösenord.
– Kryptering blir ju allt mer användarvänligt, men det kommer fortsätta bygga på att användaren måste ha en hemlighet som han måste hålla hemlig, säger Tina Lindgren.
Använd på rätt sätt
Ett annat problem är om it-tekniker konfigurerar och implementerar kryptot fel och på så sätt skapar sårbarheter, enligt Mikael Ejner.
Tina Lindgren hoppas att det som man vill hålla riktigt hemligt inte kommer att skyddas med bara kryptering i framtiden, utan även med rent fysiska skydd.
– Du bör exempelvis inte koppla upp en dator med hemligheter mot internet, säger Tina Lindgren.
Fryser ner hårddisken
Dessutom kan den som lägger vantarna på en dator som inte är avstängd få fram kryptonyckeln i klartext genom att frysa ner hårddisken, enligt Elise Revell, it-innovatör och grundare av it-säkerhetsföretaget Kelisec.
– Det här fungerar för all typ av hårddiskkryptering. Det visades redan 2013, säger Elise Revell.
Det här är möjligt genom att stark kyla håller kvar nyckeln i datorns arbetsminne, förklarar Michael Westlund. Och det är inte det enda sättet att fysiskt manipulera en dator för att knäcka hårddiskkrypteringen.
På nätet finns det ett annat allvarligt problem med dagens kryptering, enligt Jonas Lejon.
– Även om innehållet i meddelandet inte är känt avslöjas andra ledtrådar, exempelvis vem vi kommunicerar med, hur ofta och när. De här metadata måste vi dölja på något sätt i framtiden, säger Jonas Lejon.
Det blir en falsk trygghet
Andra potentiella säkerhetshot är de begagnade certifikat med krypteringsnycklar utan slutdatum som vissa it-bolag säljer vidare, anser Elise Revell.
– Allt mer blir krypterat, men det blir inte mer säkert. Det blir bara en falsk trygghet.
Till exempel tror många användare att deras e-post är skyddad om den skickas via https, enligt Mikael Ejner på Datainspektionen. Men det är inte ovanligt att mejlet bara är krypterat medan det färdas, men sedan ligger okrypterat i din mejllåda, enligt Michael Westlund, Omegapoint.
– Och det innebär att din mejlleverantör kan komma åt det. Frågan är vem du skyddar dig mot. Om det är mot någon som har resurser att hacka din mejlleverantör, eller få fram dina mejl genom tvång eller mutor, så står du inför en utmaning, säger han.
Jonas Lejon tror dock att många leverantörer i framtiden kommer att erbjuda tjänster där de inte har någon möjlighet att se det du lagrar hos dem. Men den trenden innebär nya utmaningar, enligt Tina Lindgren.
– Om din information är krypterad hos leverantören kan du inte bearbeta den och utföra funktioner på den, exempelvis sortera en lista i en databas. Men man funderar mycket på hur man ska kunna lösa det här. Och redan nu kan man göra så att man har en svagare kryptering som skyddar mot tjuvkik samtidigt som det är möjligt att utföra vissa funktioner, säger hon.
Den svaga krypteringen är dock just svag, och ingenting man bör lita på. Fast å andra sidan: man bör inte lita helt och hållet på något krypto alls, anser Louise Yngström.
– Krypton har alltid knäckts och kommer alltid att knäckas, och så kommer man på nya krypton som ersätter de gamla, säger Louise Yngström.
Och Michael Westlund tror att vi inom en inte allt för avlägsen framtid kommer få se riktiga genombrott inom kryptoanalys, det vill säga den matematiska vetenskap som studerar hur man kan forcera krypton utan tillgång till nyckeln.
– Vi har redan lärt oss att hitta genvägar när vi räknar matematiskt, vilket innebär att kryptonycklarna måste ha fler antal bitar, säger Michael Westlund.
Kvantdatorer kan ställa till det
Ett annat potentiellt genombrott som verkligen kan ställa hela kryptovärlden på ända är kvantdatorer, enligt Michael Westlund.
– De har potential att knäcka alla krypton vi känner till i dag, så det är ju ett orosmoment för framtiden. Jag vet inte om kvantdatorer verkligen kommer, men det sker ju forskning på området, så det är inte otänkbart, säger Michael Westlund.
Tina Lindgren vågar inte heller gissa om och i sådana fall när kvantdatorer kommer, men tycker ändå att det är dags att börja tänka på hur man i sådana fall ska agera.
– Det finns asymmetriska kryptoalgoritmer som skulle klara sig mycket bättre mot attacker av eventuella kvantdatorer än de som används i dag, men de är inte så praktiska än. Det finns folk som jobbar på att förbättra dem. Dessutom knäcks inte symmetriska krypton, även om kvantdatorer skulle göra dem svagare, säger Tina Lindgren.
Dyrt och komplicerat
Kvantmekaniken kan även användas för att kryptera, och det finns redan kvantkrypton, enligt Michael Westlund.
– Kvantkryptering handlar dels om att kryptera, dels om att man direkt upptäcker om någon avlyssnar en. Nackdelen är att det krävs en fysisk förbindelse mellan de som kommunicerar, så det går inte att köra det i mobilen rakt av. Dessutom är det fortfarande väldigt dyrt och komplicerat, säger Michael Westlund.
Men om tio år tror han att vi kommer att se en hel del implementeringar av kvantkrypton.
– Men de kommer inte utgöra basen. Kvantkrypton löser bara delar av problemen vi har i dag. Många av de algoritmer vi känner till i dag räcker även i framtiden, om de implementeras och används på rätt sätt. Och vi kommer att få se en vidareutveckling av dagens matematiska kryptoalgoritmer, säger Michael Westlund.
Plötsligt en supersmart person
Pia Gruvö tror på en långsam utveckling av kryptotekniken. Även Tina Lindgren tror att det mest sannolika är en stegvis utveckling.
– Men jag utesluter inte att någon supersmart person plötsligt hittar på en helt ny och banbrytande kryptoteknik. Något man funderar mycket på är hur man ska kunna hitta mindre krävande algoritmer som är anpassade för sakernas internet och prylar som inte har så mycket prestanda, säger hon.
Michael Westlund ser det inte heller som osannolikt att det sker riktiga tekniksprång framöver.
– Och det kan faktiskt redan ha skett genombrott som inte har publicerats. Exempelvis lade den brittiska underrättelsetjänsten GCHQ den matematiska grunden till asymmetrisk kryptering och hade redan 1973 utvecklat de metoder som först flera år senare blev kända som rsa och Diffie-Hellman, säger Michael Westlund.
Definitionen av kryptering är enligt Nationalencyklopedin ”att i kommunikationssystem åstadkomma sekretess (dölja information för obehöriga) och/eller autenticitet (säkerställa äkthet hos information) genom att utnyttja en för de obehöriga användarna hemlighållen nyckel”.
