Kryptering er et kæmpe-problem for danskerne:Så alvorlig er situationen
Kryptering er ikke den hellige gral, men der er rigtig mange fordele, og danskerne krypterer alt, alt for lidt. Det gælder både firmaer og privatpersoner.
Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.
Sådan virker kryptering
For at en kode giver mening skal der være en algoritme, der er en lås, og en nøgle, som kan åbne låsen. Et praktisk eksempel på det er en gammeldags Basta-cykellås, forsynet med tapper, der enten kan være enten inde eller ude.
Nøglen til at låse cyklen op er den unikke kombination af tappenes position. Nøglens længde, eller i dette tilfælde antallet af tapper, stiger eksponentielt, og antallet af muligheder hænger direkte sammen med sikkerheden.
Har en cykellås ti tappe, er der 1024 kombinationer. Det svarer til en 10 bit-nøgle. Forøges antallet til 11 fordobles antallet til 2048 kombinationer, 12 tappe giver 4096 muligheder og så fremdeles. Hver gang krypteringsnøgler bliver en bit længere, fordobles antallet af kombinationsmuligheder.
Flere af de sikkerhedsprodukter, som anvendes i dag, er på 256 bit, svarende til 256 tappe på cykellåsen.
Antallet af kombinationsmuligheder til en sådan kryptering svarer nogenlunde til antallet af atomer i universet. Muligheden for at bryde nøglen afhænger dog i høj grad af kvaliteten af de algoritmer, der ligger til grund for krypteringen.
Kryptering er blevet en grundpille i det digitale samfund i hvert tilfælde, hvis data skal være hemmelige for andre end afsender og modtager.
Ikke mindst efter afsløringen af NSA's og andre sikkerhedstjenesters omfattende dataopsamling, er kryptering et værktøj, der er kommet langt mere fokus på i offentligheden.
I Danmark fik vi den digitale signatur og siden NemID, som en nationalt udbredte løsninger baseret på kryptering.
Vi er således langt fremme.
Men krypterer vi nok i Danmark? Og er kryptering den hellige gral, der skal holde vores sikkerhed oven vande og beskytte os med pirater, hackere og andet skidtfolk? Kan vi slette antivirusprogrammet og bare krypterere i stedet for?
Det har vi spurgt en ekspert om, og her falder svaret prompte:
"Vi krypterer slet ikke nok," fortæller Ken Friis Larsen, lektor på Datalogisk Institut på Københavns universitet.
"Det er sådan set ikke nogens skyld, men vi må indse, at det er besværligt, at kryptere data på en sikker måde. Hvis nøglen til krypteringen smides væk, så er informationen tabt."
Han sammenligner det med, at hvis du glemmer pin-koden til dit Dankort, mister du samtidig de penge, der står på kontoen.
"Det er jo ret ubelejligt. Der er mange brugervenlighedsproblemer, der ikke er løst og som gør kryptering meget besværlig."
Kryptering er kun en del af sikkerheden
Selv om det er sikkert at pakke sine data ind i hemmelige koder, er det faktisk ikke nok at holde sine data krypterede. Der er nemlig svagheder.
"Kryptering er en fantastisk effektiv teknologi til at holde noget hemmeligt, men kryptering eksisterer ikke i et vakuum. Det er en teknologi, der indgår som et del-element, når vi forsøger at sikre vores kommunikation og data," fortæller han.
Hvis vi kigger på os selv og vores virksomhed kan vi udmærket se hans pointe. Ud over den obligatoriske SSL-sikring af websider er det næppe megen kommunikation, der er krypteret.
(Foto: istockphoto.com)
Krypteringens historie
Kravene til hemmelighedskræmmeri har ændret sig gennem tiden men teknikkerne, vi anvender i dag, blev taget i brug for flere tusinde år siden.
Første historiske kilder med eksempler på kodede budskaber stammer helt tilbage til Spartanerne i det gamle Grækenland og kan dateres til 400 år før vor tidsregning.
Det var dog Julius Cæsar og Romerriget, der for alvor startede med at bruge krypterede beskeder godt 350 år senere. De romerske legionærer benyttede en krypteringsmetode kaldet Cæsars kode.
Den fungerede ved, at man forskød bogstaverne med eksempelvis fire pladser. A blev således til D, B til E og så fremdeles.
Da diplomatiet begyndte at få indflydelse på vores måde at drive samfundet på, eksploderer behovet for kryptering.
I 1400-1500 tallet opstod således mere komplekse koder baseret på nøgleord og algoritmer, hvilket stadig danner fundamentet for den kryptering, vi bruger i dag. Man anvendte flere alfabeter i forskellig rækkefølge og opfandt "Den ubrydelige kvadrat."
Den metode placerer bogstaverne i et koordinatsystem med både en vandret og en lodret akse. Koden blev først brudt i 1915.
Krig på udviklingen Udviklingen af hemmelige koder har gennem hele historien været tæt forbundet til de store krige, og det var da også i forbindelse med 2. Verdenskrig, at den højteknologiske krypteringsteknologi virkelig tog fart.
I den periode opfandt man for første gang mekaniske maskiner til at kryptere tekst med.
Nogle af de mest berømte maskiner var den amerikanske Hagelin, den japanske Purple og ikke mindst den tyske Enigma-maskine.
Den tyske Enigma kom til at danne skole for kodemaskiner, og de principper, vi bruger til kryptering i dag, er langt hen ad vejen de samme, som blev brugt af Enigma-maskinen. Der er blot tilføjet lidt mere matematik i den moderne kryptologi.
Enigma-koden blev knækket af kryptografer i 1930'erne, og den engelske matematiker Alan Turing bidrog afgørende til opdagelserne.
Den nyeste af de klassiske koder hedder DES (Data Encryption Standard), og den blev blandt andet udviklet af IBM tilbage i 60'erne.
DES har en nøgle på 56 bit, og metoden går ud på at bryde bogstaver ned til bits og blande dem i tilfældig rækkefølge.
DES har været flittigt brugt i bankverdenen. Den oprindelige DES-kryptering er dog ikke god nok til moderne sikkerhed, fordi den i dag kan brydes ret nemt.
Fundamentet for de klassiske krypterings-metoder er, at både modtager og afsender kender både algoritme og nøgle.
Den model kan man ikke anvende ved e-handel, hvor parterne ikke kender hinanden.
Primtal vinder frem Derfor opstod et krav om asymmetrisk kryptering, hvor der bruges både en privat og en offentlig nøgle. Tidligere benyttede man sig af en hemmelig nøgle, mens man i dag anvender en almen nøgle, kaldet en public key, der kan kontrolleres af eksempelvis offentlige myndigheder.
En anden udvikling består i, at moderne koder i stort omfang er baseret på talteori, det vil sige primtal, der ganges med hinanden.
Princippet er, at man ganger to meget store primtal med hinanden. Det givet et produkt, som man så kan regne tilbage fra, hvis man altså kender nøglen. Har man ikke nøglen, vil der være et hav af mulige talkombinationer, der kan give produktet.
Udgangspunktet for at tyde krypteringen kan være et produkt på flere hundrede cifre, og det er meget svært - for ikke at sige næsten umuligt - at finde netop de to primtal, som produktet er sammensat af, hvis man skal gætte sig til resultatet.
Fysikke træder til De traditionelle krypterings-algoritmer er baseret på matematiske teorier og kan i princippet altid brydes, hvis man har tilstrækkelig regnekraft. I forsøget på at gøre koden helt ubrydelig, har forskerne derfor vendt sig mod fysikkens love og arbejder med en teknologi, der kaldes for kvantekryptering.
I kvantekryptering bruger man polariserede fotoner til at transportere informationer gennem lysledere. Med kvantekryptering opbygges nøglen til at kode og afkode en besked således ved hjælp af fotoner, som enkeltvis sendes af sted.
Kvantekryptering-sikkerhed anses for at være fuldstændig ubrydelig på baggrund af fysikkens love. Hermed kan kvantesystemer på en og samme tid både levere den definitive kodeknuser og den definitive krypteringsteknik.
Teknologien er stadig i sin vorden, men på forskningsniveau arbejdes der meget målrettet med teknologien.
Annonce:
Hvornår har du sidst modtaget en krypteret e-mail - eller sendt en, og hvor meget indgår kryptering egentlig i virksomhedernes daglige it-drift?
"Isoleret set er programmering fantastisk effektivt, og man kan opnå en masse sikkerhedsmæssige egenskaber men kryptografi kan for eksempel ikke styre informationsstrømme."
Han giver et helt konkret eksempel:
"I en database over danskernes sundhed er oplysningerne krypterede, men det er muligt at hente oplysninger om indholdet eksempelvis gennemsnitsalderen for en mand, der første gang får en sexuelt overført sygdom. Ved at blive ved med at stille spørgsmål kan man danne sig et meget detaljeret billede af indholdet, selv om det er krypteret. Det er et problem, som kryptering ikke løser."
Et andet eksempel, han peger på, er programmeringsfejl.
"I forbindelse med Heartbleed-sårbarheden var der en programmeringsfejl i krypteringsbiblioteket OpenSSL, som gjorde, at man kunne trække informationer ud af systemerne. På grund at en programmeringsfejl blev krypteringen ubrugelig."
I sikkerhedsystemer er krypteringen det stærksete led, men der er nogle sikkerhedsproblemer, der ligger uden for selve krypteringen, eksempelvis programmeringsfejl.
Politik og big data
Du startede med at sige, at vi ikke krypterer nok. Hvor meget skal vi kryptere?
"På mange områder er det et politisk spørgsmål eksempelvis for og i mod overvågning," siger Ken Friis Larsen.
"Min personlige holdning er, at et demokratisk samfund har brug for kryptering og hemmeligholdelse. Det er vigtigt med mulighed for kommunikation, der ikke kan overvåges. Den modsatte side af medaljen er, at det samme værktøj kan undergrave demokratiet. Men ytringsfrihed er også velegnet til at bekæmpe ytringsfrihed, så det er prisen for demokrati. "
Hvis man ser på erhvervslivet er der til gengæld nogle tydelige problemer i forbindelse med de stor mængder data, der indsamles om eksempelvis kunder, der handler på nettet.
"I forbindelse med big data indsamles rigtig mange oplysninger om folk. På trods af at vi ikke har tal på området, er det sikre fornemmelser af, at mange af dem ikke er krypterede eller opbevaret forsvarligt. Her er svaret: Nej, vi krypterer ikke nok. Vi skal passe lang bedre på vores data."
