Go to Top

NSA betalade 65 miljoner till RSA för kryphål i krypteringskod

Bild på kryptering

RSA Security är företaget som utvecklar och tillhandahåller protokoll för kryptering av elektronisk information. I Sverige använder exempelvis alla banker, myndigheter och företag dessa protokoll i allt från att kryptera epost till att skydda information. RSA-kryptering används också i så kallade ”bankdosor” och även för andra krypteringsnycklar som ”secureID” och liknande. I Sverige används denna typ av kommersiell kryptering i allt från BankID, Internetbanker, säkerhetscertifikat och butiker online till mobila appar.

Man har sedan tidigare fått kunskap om att RSA-krypteringen haft brister i form av kryphål och svagare kryptering då Edward Snowden avslöjat dessa i sina dokument. Men vad som nu framkommer är att USA’s underrättelseorganisation NSA (National Security Agency) har beställt och betalat 10 miljoner USD för denna bakdörr i koden. NSA ansåg att krypteringen var för stark, och beställde då en ”bakdörr” i koden för att vid olika tillfällen kunna avkryptera information.

För att kryptering i grunden ska fungera, krävs det att nycklarna genereras slumpmässigt (Observera att nycklar inte är detsamma som lösenord). Men om dessa nycklar genereras enligt ett på förhand bestämt mönster, finns det bara ett bestämt antal nycklar och krypteringen som helhet misslyckas då med sin uppgift att kryptera information på ett säkert sätt. Det är denna typ av kryphål, eller svaghet, som NSA beställde och betalade RSA Security för.

Det är sedan tidigare känt att Apple samarbetar med NSA, även kring krypteringen av den information som dess kunder använder. NSA kan, och har tillgång till att, avläsa all information som operativsystemet OSX sparar både på hårddisk och i Apple’s molntjänster. Detsamma gäller iPhones och Wifi-tjänster anslutna till dem, NSA använder mobiltelefonernas Wifi-funktioner för att avlyssna närliggande Wifi-nät och avkryptera den information som skickas genom dem.

Forskare har tidigare kunna knäcka Apples slumpgenererade lösenord på mindre än 1 minut, och det visar sig nu att dessa slumpvis genererade lösenord inte alls är slumpvis genererade, utan följer ett förutbestämt mönster. Apple’s filevault 2 som används flitigt i Mac, är en säkerhetslösning som har till syfte att skydda informationen från obehöriga, men det har nu framkommit att både Apple och NSA läser av denna information även när den är inaktiverad av användaren.

Alternativ kryptering eller kommersiell kryptering

RSA Security är dock inte den enda som utvecklar och skapar kryptering av elektronisk information. Det finns en del alternativ baserad på öppen källkod också, TrueCrypt är ett av dessa. Men även kryptering som TrueCrypt har sina nackdelar, du bör exempelvis alltid kontrollera källkoden mot MD5-nycklar och kompilera koden på egen hand. Detta ställer då en del krav på dig som användare i form av kunskaper och hantering. Du kan låta andra kompilera åt dig, men då måste du vara säker på att de inte lagt in liknande kryphål för att läsa av din information.

Med kommersiell kryptering är det just detta du betalar för, att någon annan kompilerar och utvecklar krypteringskoden för dig. Men om denna leverantör då ägnar sig åt att sälja kryphål till myndigheter och privata företag, faller ju hela förtroendekapitalet till noll för dess kund. Man köper ju en kryptering av information just för att ingen obehörig överhuvudtaget ska kunna läsa av informationen.

Min egen åsikt i detta är att svenska företag bör använda egen kryptering, istället för att köpa den tjänsten. Det kostar egentligen inte mer om man bara ser till att kompetensen för att hantera det finns på företaget. Man skulle exempelvis kunna anställa någon på heltid för att ansvara för att den egna krypteringen fungerar säkert och att den underhålls tekniskt.

Källor

, , , , , , ,

About Christer Johansson

Jag är utbildad webbutvecklare & webbredaktör som även arbetar med e-handel. Sedan starten 1997 har jag sett och gjort många webbplatser på Internet. Jag hjälper dig med allt som har med webb och trycksaker att göra. Connect with Christer on Google+