Artikel top billede

Foto: Philippe Ramakers

Total overvågning på nettet: Denne teknologi holder snushanerne effektivt fra døren

Amerikanske NSA snuser i dine data. Men der er én sikkerheds-model, der virker og som er stort set ubrydelig, mener sikkerheds-eksperter. Se den her.

Den amerikanske sikkerhedsorganisation NSA snuser overalt og investerer milliarder af dollar i avancerede overvågnings-teknologier, der kan snuse overalt på nettet.

Skal du holde dine data i skjul for snushaner og nysgerrige organisationer, så er der kun én vej, mener sikkerheds-eksperter. Nemlig kryptering.

Er en avanceret krypterings-løsning ordentligt implementeret, er den nemlig fortsat den mest sikre måde at sikre sig privacy på nettet.

Meldingen kommer, efter at den britiske avis The Guardian tidligere kunne afsløre, at NSA i interne dokumenter beskriver, hvordan man kan omgå krypterings-teknologier ved hjælp af forskellige metoder.

De tæller udnyttelse af bagdøre, voldsomme angreb, juridiske 'angreb' ved hjælp af dommerkendelser samt indgåelse af partnerskaber med teknologi-leverandører.

Angiveligt har NSA været i stand til at trænge igennem adskillige krypterings-algoritmer.

Alligevel gør de matematiske principper bag kryptografi, at de kryptografiske sikkerhedsløsninger fortsat er særdeles vanskelige at knække.

Indbygget bagdør

Den amerikanske sikkerhedsekspert og ph.d. i kryptografik Steve Weiss siger til Computerworlds amerikanske nyhedsbureau, at det er sandsynligt, at NSA kun er lykkedes med at trænge igennem usikre, uddaterede og forældede implementeringer af visse krypterings-teknologier.

Han peger på, at lækkede dokumenter fra NSA antyder, at NSA byggede en bagdør i en NIST-godkendt krypterings-standard med navnet Dual EC DRBG, der anvendes til at generere rækker af tilfældige tal.

"Det vil tage helt usandsynligt kraftige supercomputere millioner af år at knække denne kryptering"

Dual EC DRBG har været tilgængelig i seks år. Brugen er ifølge Steve Weiss faldet drastisk, siden NSA-bagdøren blev opdaget af to Microsoft-ingeniører.

Steve Weiss siger, at det fortsat er uklart, om NSA er i stand til at knække mere robuste krypterings-teknologier.

"Indtil videre er det intet, der tyder på, at en algoritme som AES (Advanced Encryption Standard) er blevet knækket," siger han.

Her er det sårbare punkt i en krypteringsløsning

Andre sikkerhedseksperter peger på, at nutidens avancerede krypterings-løsninger er stort set ubrydelige, hvis de implementeres ordentligt.

"Det vil tage helt usandsynligt kraftige supercomputere millioner af år at knække denne kryptering," siger sikkerhedsmanden Dave Andersson til Computerworlds amerikanske nyhedsbureau.

Ifølge ham kan sikkerhedsniveauet i en AES-kryptering imidlertid hurtigt blive reduceret til noget, som en hacker kan knække med en billig pc på et par timer, hvis teknologien ikke implementeres ordentligt.

Her er det sårbare punkt

Dave Andersson siger, at NSA muligvis har været i stand til at udnytte sårbarheder i nogle af de processer, der understøtter krypteringen, fremfor at knække selve krypteringen.

Det kan eksempelvis være i udstedelsen af nøgler, der på mange måder er det mest sårbare område i en krypterings-løsning.

Det skyldes, at det er meget mere effektivt at forsøge at knække eller på anden måde trænge ind i nøgle-udstedelses-systemerne eller på anden vis stjæle nøgler end at forsøge at knække selve krypterings-algoritmerne.

Men også dette er yderst vanskeligt, hvis systemerne er implementeret efter alle forskrifterne, hedder det.

Open source er langt bedre

Sikkerhedsmanden Peter Weiss siger til Computerworlds amerikanske nyhedsbureau, at virksomheder bør overveje at anvende open source-teknologier som Open SSL fremfor kommercielle løsninger.

Det skyldes, at de kommercielle løsninger ifølge ham er mere sårbare over for NSA-bagdøre end open source-løsningerne, hvor koden jo altid er åben og synlig for alle.




IT-JOB

ILLUM A/S

IT Manager

Cognizant Technology Solutions Denmark ApS

Data Architect

Udviklings- og Forenklingsstyrelsen

IT-supporter til stort IT-center i Aalborg
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere