Vem ser om ditt hus egentligen?

2013-09-13

Oavsett om myndigheter som FRA och NSA påverkar kravställningar, specifikationer eller motsvarande i egna syften eller ej så är varje indikation att de påverkat tekniken till sitt eget syfte mycket besvärande för deras trovärdighet.

Det faktum att NIST (National Institute of Standards and Technology) ånyo öppnar upp för kommentarer kring SP800-90A är en stark signal. SP800-90A är förenklat en vägledning hur krypteringssystem kan generera slumptal. Redan 2007 lyfte flera experter fram att NSA kan ha kännedom om, något förenklat, vissa statiska tal som ligger till grund för slumptalen i elliptiska kurvor. Något som skulle innebära att slumptalen i praktiken kraftigt begränsats. Det är inte svårt att gissa varför detta nu 6 år senare når dagens ljus igen. Det stavas Snowden.

Det är givetvis bra att NIST reagerar och att branschen som gör implementationer av berörda komponenter också agerar. Vi kommer dock aldrig att få veta vad som är sant och vad som är rykten. Organisationer som FRA och NSA är inte direkt kända för att vara talföra och när de väl talar kan ingen egentligen bedöma sanningshalten. Oroande är bara förnamnet.

Röster höjs för större öppenhet och att exempelvis öppen källkod är rätt väg för att förhindra att bakdörrar implementeras i systemen. Visst är insynen i kommersiella produkter begränsad men faktum är att även kommersiell kod kan granskas. Vi har exempelvis gjort det med Mobilt BankID för att bättre förstå vilka eventuella svagheter det finns i nyckelhanteringen (delar av resultatet redovisades för övrigt på vår 16:e Säkerhetsdag) för att bättre kunna värdera lösningen i ett givet sammanhang.

Sedan har vi givetvis den sedvanliga diskussionen att lösningen ska vara öppen och transparent eller att en lösning ska vara höljd i dunkel där det senare motiveras med att chanserna för den illvilliges upptåg då minskar. Till detta kan sägas att i princip alla kryptoalgoritmer som används idag är öppna och transparenta för att i teorin säkerställa att ett feltänk uppmärksammas och rättas. Hemligheten ska, som bekant, ligga i nyckeln och inte i implementationen.

Nu lär det ju inte vara krypteringsalgoritmen som i första hand fäller avgörandet, utan det är som så ofta tillämpningen och dess underliggande komponenter som i detta fall består av kryptografiska utvecklingsbibliotek. Om dessa läcker eller begränsar nyckelurvalet spelar det inte lika stor roll om en stark och öppet belyst algoritm samt solid nyckelhantering används.  Det gäller att se till helheten då skyddsfaktorn associerad med olika former av kryptografiska lösningar utvärderas. Det räcker helt enkelt inte att enbart fokusera på val mellan enskilda algoritmer för att kunna bedöma kryptografiskt skyddsvärde, utan hela utvecklingen, kodningen, kompileringen och användningen måste in under luppen.

Många är vi som har undrat hur vi ska se på en statlig aktör likt FRA som bitvis konkurrerar på en öppen marknad inom områden som exempelvis IT-säkerhetsrådgivning och penetrationstester, inte sällan i båda rollerna samtidigt. Till detta ska läggas att de har placerat ut utrustning hos flera myndigheter som har till uppgift att motverka intrång, men som faktiskt är regelrätt avlyssningsutrustning. Den tillsyn som utövas mot FRA vittnar knappast om att de alltid balanserar på rätt sida om gränsen till det tillåtna. Förhoppningsvis har de ädla syften, men hur informationsinhämtningen sker, vad den används till och vem den delas med är och förblir en hemlighet.

Vi lever i en tid där vi är mer upplysta än någonsin vilket också hela denna debatt vittnar om. Vi har blivit varse om en rad dolda agendor som inte längre är lika dolda. Kanske ser vi nu en tillnyktring och i den bästa av världar kan fler krafter verka för en större transparens och öppenhet. Betänk vad som gjort Internet till vad det är idag. Det är i alla fall inte reglering, kontrollering och begränsning.

Vem ska då se om ditt hus? Det enkla svaret är du själv, se inte vare sig statlig eller kommersiell rådgivning som absoluta sanningar. Uttrycket själv är bäste dräng kanske har fått en ny och annorlunda innebörd!