Det er bedre at kryptere end at lade være, også selvom du ikke har noget at skjule. Det var et af budskaberne fra den internationalt anerkendte it-sikkerhedsekspert Bruce Schneier, under sig indlæg på konferencen hos ‘Digital Threats and Solutions’, som InfinIT har arrangeret sammen med WAYF, DI ITEK og IDA-IT.
Schneier, konferencens hovedtaler, tog sit afsæt i afsløringerne om den amerikanske efterretningstjeneste NSA’s overvågningsprogrammer og den tidligere efterretningsanalytiker Edward Snowdens løbende afsløringer af disse.
»Kryptering virker,« lød det fra Schneier, der refererede fra et af Snowdens interviews.
Selvom NSA har et større budget end alle andre efterretningstjenester kombineret, så er de ikke lavet af ‘magi’, påpegede Schneier. Med andre ord, hvis ellers krypteringsalgoritmen er rigtigt implementeret, så er der ikke noget, der tyder på, NSA kan knække den kommunikation.
»Den dårlige nyhed er, at end-point-sikkerheden er utrolig svag. NSA finder jævnt veje uden om den,« sagde Bruce Schneier.
Problemet er implementeringen, bagdøre, standarder, der bevidst er svækkede og den slags, forklarede Schneier. Og så at folk ikke krypterer deres kommunikation.
Det bør de gøre, lød det fra Schneier. Også selvom man ikke mener, man har noget at skjule for hverken NSA eller USA. For hvis de kan lytte med, så kan andre sandsynligvis også. Eksempelvis Kina, Rusland, it-kriminelle eller andre.
»Jeg vil under alle omstændigheder anbefale kryptering,« sagde han.
Og den anbefaling har også andre formål, end at forhindre det, nogle vil betragte som mindre venligtsindede personer eller organisationer i at lytte med på linjen.
Masseovervågning for let
I en lille anekdote fortalte Schneier, at han for nyligt havde undersøgt, hvornår han holdt op med at slette mails, for i stedet bare at søge den mail frem, han skal bruge. Det var i 2006. Pointen? I dag er det – hjulpet på vej af Moore’s Lov om en fordobling af computerkapaciteten hver 18. måned – sådan ca. – lettere (og billigere) at opbevare information, end det er at sortere informationen, og så kun gemme det, der skal bruges. Det samme gælder for efterretningstjenester, påpegede Schneier.
Han fortalte også, at den udvikling er hjulpet yderligere på vej for NSA’s vedkommende at terror-angrebet 11. september 2001 mod World Trade Center. Siden har den stående ordre til den amerikanske efterretningstjeneste, ifølge Schneier lydt, at noget lignende aldrig må ske igen. Og hvis noget lignende aldrig må ske, så dur det heller ikke, at gå glip af noget information, overhovedet.
»Vi har ganske enkelt gjort masseindsamling (af information, red.) for let,« sagde han og fortsatte:
»Vi har skabt en verden, hvor det er lettere for NSA at spionere på alle, frem for at fokusere (på enkelte, red.).«
Men, var Schneiers pointe, det er muligt at gøre det sværere at lave masseindsamling af information, nemlig ved at kryptere. Hvis kommunikationen i nettet i udgangspunktet, i chat, mails osv, er krypteret, så kræver det flere ressourcer at indsamle information, og det vil derfor bedre kunne betale sig for efterretningstjenester af fokusere overvågningen mod eksempelvis mistænkte terrorister.
Tiltrækker kryptering ikke uønsket opmærksomhed?
I den forbindelse ville én af konferencens tilhørere gerne vide, om der ikke var en risiko for at kryptering netop ville tiltrække sig uønsket opmærksomhed fra efterretningstjenester, fordi der er så relativt få, der gør det..
»Jo flere af os, der ikke behøver kryptere vores data, som krypterer data, jo mindre vil det rejse et rødt flag. Så hvis alle bruger kryptering hele tiden, jo mere normalt bliver det,« svarede Schneier.
Når det er sagt, så er kryptering dog mere en lappeløsning, end en løsning på overvågningsproblematikken. For hvilken mail-udbyder, hvilken hardware leverandør eller leverandør af andet it-relateret, har ikke indbygget en eller anden form for svaghed, en bagdør eller har en aftale med en efterretningstjeneste?
»Det er problemet. Lige meget hvor god, vores teknologi er, så stoler vi i sidste ende på, at virksomheder implementerer den ordentligt,« sagde Schneier.
Så selvom kryptering kan gøre det mere bøvlet at lytte med på alt, så vil det i udgangspunktet være muligt at lytte med for dem, der vil det.
»På kort sigt er det i virkeligheden et spørgsmål om, hvem man har mindst mistillid til,« sagde han.
Hvis overvågningsproblematikken skal løses, så er det derfor ikke nok med teknik og kryptering, det kræver politisk handling, påpegede Schneier, som dog ikke havde noget endegyldigt svar på, hvad der skal ske:
»Vi befinder os midt i et meget stort problem, og jeg har ikke en oplagt løsning.«
Leave a Reply