Et af omdrejningspunkterne i den igangværende sag om hacking af CSC’s systemer, hvor den 21-årige dansker JT er tiltalt, er en laptop med kryptering. Politiet har haft fysisk adgang til maskinen siden juni 2013, men har endnu ikke kunnet omgå krypteringen og dermed tilgå data, der potentielt kan være relevante i sagen. Og det er nødvendigvis heller ikke så let at omgå sådan en kryptering, forklarer professor ved Datalogisk Institut på Aarhus Universitet Ivan Damgård, som er ekspert i kryptologi.
Politiet har haft laptoppen i besiddelse i mere end et år og har i den tid principielt kunnet gætte løs på det rette kodeord.
»Det har de sikkert også gjort, men det virker kun, hvis passwordet er dårligt valgt. Man vil jo altid først prøve med kærestens navn bagfra og den slags, og hvis det ikke virker, kan man bruge en computer til at tjekke en masse muligheder. Men hvis passwordet er langt nok og tilfældigt nok valgt, så hjælper det overhovedet ikke. Chancen for, at man er heldig, er simpelthen alt for lille,« skriver Ivan Damgård i en mail.
Og han er i den forbindelse ikke overrasket over, at det endnu ikke er lykkedes at gætte kodeordet, som den tiltalte indtil videre har nægtet at udlevere.
»Egentlig ikke. Ganske vist er der mange ‘almindelige’ brugere, som vælger dårlige passwords eller gør andre mindre kloge ting i forhold til sikkerhed, men her er der jo tale om en person med stor teknisk viden, og det betyder formentlig, at man er nødt til virkelig at bryde den anvendte kryptering for at få adgang.«
Og det med at bryde den anvendte kryptering kan være sin sag. Hvis det skal være muligt, skal den eksempelvis indeholde en eller anden form for matematisk svaghed eller måske ligefrem en decideret bagdør – altså et bevidst indlagt ‘hul’, så der kan opnås adgang til de ellers krypterede data uden at kende kodeordet. Men ifølge Ivan Damgård er det langtfra selvfølgeligt, at krypteringen indeholder svagheder.
»Det er det bestemt ikke sikkert, den har. For eksempel hedder den de facto industristandard, vi bruger i dag, AES (Advanced Encryption Standard), og på trods af intens forskning gennem adskillige år kender man ingen svagheder ved den, der ville tillade politiet at knække sådan en kryptering i praksis. Hvis ellers nøglen virkelig er tilfældigt valgt, og implementeringen er i orden.«
Uden at kende den anvendte kryptering i det konkrete tilfælde gætter Ivan Damgård på, at der er anvendt en kombination af flere krypteringsformer og ikke kun den, der måtte være indbygget i et operativsystem. Han understreger dog også, at han ikke har konkret kendskab til de krypteringsmetoder, der er bygget ind i flere operativsystemer.
»Det er usandsynligt, at den tiltalte i den konkrete sag kun har brugt den kryptering, der ligger i OS’en. De systemer er jo hårdt presset af performance krav: Du må ikke kunne mærke krypteringen på maskinens hastighed, så sikkerheden er ikke altid optimal. Men der findes masser af treparts software til kryptering, som har god sikkerhed, og som kan bruges til at sikre bestemte filer. Mit gæt er, at begge dele er brugt her.«
Leave a Reply