Christian Engström, Pirat

5 september 2013

NSA har bakdörrar till en stor del av all krypterad internettrafik

Filed under: NSA — Christian Engström @ 21:10

New York Times och The Guardian presenterar en sensationell nyhet: USA’s övervakningsmyndighet NSA kan knäcka mycket av internettrafiken som är krypterad, såsom Secure Sockets Layer (SSL) och VPN-tunnlar. Det är två hörnstenar i säkerhetssystemet på internet.

NSA har systematiskt arbetat för att få kommersiella tillverkare av produkter som innehåller kryptering att installera bakdörrar. De har också arbetat aktivt för att introducera svagheter i de standards för kryptering som används internationellt.

Om det här är sant är har de försvagat hela västvärldens försvar mot cyberbrott och cyberterrorism.

Det må vara aldrig så komplicerade bakdörrar de har introducerat i våra banksystem, våra myndigheter och våra företag. Om bakdörrarna finns där, då kan någon annan hitta dem.

Det här går bortom den rättmätiga vrede som vi alla känner över att NSA spionerar på oss alla och kartlägger allt vi gör. Den vreden ska vi förstås fortsätta känna. Men det här är ännu värre.

Att NSA försvagar skyddet för allt från våra pengar på banken till våra patientjournaler är helt oacceptabelt. Det är en direkt inbjudan till cyberterrorism och cyberbrott, som mycket väl skulle kunna utvecklas till ett katastrofscenario.

Om det som sägs i artiklarna stämmer, då har NSA försatt oss i en situation där terrorister faktiskt skulle kunna hota hela vårt samhälle.

Det räcker med att de lyckas hitta och utnyttja någon av NSA’s bakdörrar i vår samhällsviktiga infrastruktur.

Läs:
New York Times: N.S.A. Foils Much Internet Encryption
The Guardian: US and UK spy agencies defeat privacy and security on the internet

23 kommentarer

  1. Den uppenbara reaktionen är givetvis att det är NSA själva som är terroristerna. Det är de som till stor kostnad och med uppsåt tillskansat sig tillträde till all den information som gör oss sårbara. Varför skulle de göra det om de inte hade intresse att utnyttja den, om än ytterst selektivt för att oskadliggöra individer som de ser som hot?

    Kommentar av e — 6 september 2013 @ 0:18

  2. […] de kan klara av att dekryptera i praktiken nästan all information som skickas på Internet. Med NSAs bakdörrar så undra jag – vilka andra nationer har underrättelsetjänster som gör exakt detsamma […]

    Pingback av FRA del av NSAs PRISM – kallas SARDINE | Anders S Lindbäck @ Kunskapssamhället — 6 september 2013 @ 0:38

  3. ”samhällskritiska” = ”samhällsviktiga”?

    Kommentar av Peter Harold — 6 september 2013 @ 6:09

  4. Tack, ändrat.

    Kommentar av Christian Engström — 6 september 2013 @ 6:39

  5. När jag läste kyrpteringsteknik på universitetet (det var visserligen på 1900-talet) så fick man ju lära sig att man inte kan lita på någon annan än sig själv. Säkerhet handlar om kontroll, och litar man på annans kod och släpper ut sitt data på Internet då har man inte kontroll. Som att skicka brev på posten. VEM SO

    Kommentar av Johan Tjäder — 6 september 2013 @ 7:44

  6. VEM SOM HELST kan öppna…

    Kommentar av Johan Tjäder — 6 september 2013 @ 7:45

  7. Nu med dagens avslöjande om FRA s stöd till USA framstår Obamas besök i Sverige i strålkastarljuset.

    Det var ett tack till Sverige och Fredrik Reinfeldt för Raiden mot Pirate Bay och FRAs avlyssning för USAs räkning mm.

    Usch

    Kommentar av RUTROS — 6 september 2013 @ 9:02

  8. Jaha… Inte särskilt förvånande… Men man blir allt lite matt.

    2 burkar. 1 Online och 1 Offline. All kryptering/avkryptering sker på offlinedatorn som bara koms åt via externa lagringsmedia. I ett sånt system behövs fysisk tillgång för att kunna snoka. Men offlinedatorn kan stängas av vid alla tidpunkter då man ej använder den och ha sina sekundära lagringsmedia krypterade.

    Kommentar av gurra — 6 september 2013 @ 9:07

  9. När historiker summerar perioden 1990-2020 så kommer följande att vara en typisk titel:

    ”Att bygga ett sprött samhälle: Hur säkerhetstjänsterna lurade sig själva, varandra och sina regeringar att motarbeta pålitliga datanät, tjänster och databaser.”

    FRA och deras internationella kollegor är så inne i sina arbetsuppgifter att de bortser ifrån att deras uppdrag långt ifrån är det enda skydd ett samhälle behöver. En pålitlig infrastruktur mycket mer värt mer än ”informationsutbyte med främmande makt”.

    Kommentar av Jan Garefelt — 6 september 2013 @ 9:18

  10. gurra: Det är bra för mail och liknande (om man är beredd att offra bekvämlighet för säkerhet), men för krypterade nätverksanslutningar till t.ex. banker och internetbutiker, sådant som SSL/TLS är tänkt att skydda, så går det naturligtvis inte.

    TLS är för övrigt inte bara _en_ algoritm utan ett protokoll där man kan plugga in dussintals eller kanske till och med hundratals olika krypteringsalgoritmer, varav en del är mycket osäkra och därför aldrig används och en del nästan helt säkert står pall mot NSA i många decennier till. Det är mycket, mycket osannolikt att _all_ TLS-trafik kan avlyssnas av NSA. Det är till och med rätt osannolikt att de vanligaste krypteringsalgoritmerna som används i TLS kan knäckas av NSA. Däremot är det mycket sannolikt att NSA har övertalat/mutat/tvingat amerikanska mjukvaruföretag att lägga in fel i sina implementationer så att t.ex. genererade nycklar som enligt protokollet ska komma från en slumpgenerator istället väljs från en lista av nycklar som NSA har valt ut, och att de på det sättet kan dekryptera all trafik mellan användare som använder just den mjukvaran.

    Använd inte krypteringsmjukvara som inte har allmänt tillgänglig källkod. Det är ingen garanti för att det inte finns bakdörrar, men det är betydligt svårare att gömma dem där.

    Kommentar av Ingo — 6 september 2013 @ 10:08

  11. Tog mig ett tag att inse hur stort det här är, lustigt nog. Om NSA inte klarar av att hålla koll på medarbetare med bra intentioner, som Snowden, hur illa är det då inte att de kan hacka precis allt. Är NSA en plantskola för morgondagens finansterrorister? Både NSA och FRA attraherar ju ljusskygga element som letar sätt att bryta och bända på befintliga lagar, med uppdragsgivarens goda minne. Kan man verkligen förvänta sig att steget till osanktionerad kriminalitet vore så lång?

    Kommentar av Smen — 6 september 2013 @ 10:25

  12. När britterna införde lagstiftning om att alla var skyldiga att lämna ut sina nycklar vid förfrågan (att man tappat bort dem var ingen ursäkt) visste man att kryptering var ett problem, men den debatten tystnade och då kunde man bara gissa att de hittat andra vägar att gå. Nu vet vi hur.
    Om företagen inte kan lita på VPN kan de inte släppa in de anställda i systemen om de inte sitter på plats. Att koppla samman kontor med mindre än egen kabel funkar inte heller. Kan man inte lita på https kan man lägga ner all handel över internet. Funkar inte SSL så kan i princip alla servrar i världen styras av vem som helst. Tack NSA, GCHQ och FRA för att ni skyddar oss mot terrorister, men var det ingen som tänkte på att ni ger fantastiska verktyg till de som ägnar sig åt cyberterrorism och cyberbrott.

    Christian, i förra EU-valet fick du min röst för ditt tidigare arbete mot mjukvarupatent, du kommer att få den igen för att du är den som bäst förstår och reagerar på det som händer nu.

    Kommentar av Arnold — 6 september 2013 @ 10:32

  13. Ingo: Japp punkten ”bekvämlighet” är tyvärr tillräckligt viktig för ”de flesta” att de inte ska orka bry sig. Men för dem som driver företag eller en politisk rörelse borde det inte vara för jobbigt. Rimligtvis är det just dem som NSA har för avsikt att hålla koll på och inte Svensson som ”inte har ngt att dölja”.

    One time pads med fysiskt utbytta nycklar är ju oknäckbart utan fysisk tillgång. Men det kräver att du fysiskt kan träffa dem du ska utbyta information med emellanåt.

    Kommentar av gurra — 6 september 2013 @ 12:08

  14. @gurra (#13)

    De värsta skurkarna de har förmåga att skydda sig. De har råd och tid och motivation att lösa säkerhetsfrågan.

    OTP blir ju allt mer tillgängligt när lagringsmedier blir mindre, billigare och bättre. Med några SDXC-kort på fickan kan du har tillräckligt med nycklar med dig för att räcka ganska länge.

    Kommentar av Johan Tjäder — 6 september 2013 @ 13:46

  15. @Tjäder(#14)

    Javisst, de riktigt grova organiserade skurkarna skyddar sig med alla medel de kan… Speciellt kryptering. Det är därför det blir så absurt när det kommer fram förslag att censurera barnporr på internet.. som om de som begår övergrepp verkligen själva skulle lägga upp bilder och filmer på övergrepp helt öppet och okrypterat…

    Dessutom vet vi ju av erfarenhet att om etablerade bolagen i diverse olika branscher får bestämma vinklingen på rapporteringen så kommer konkurrerande innovatörer garanterat framställas som skurkterroristpedofilkommunistpirater. Förr i tiden skulle de slängt in ”hädare” eller ”kättare” också, men det biter väl inte riktigt lika bra nu för tiden.

    Kommentar av gurra — 6 september 2013 @ 16:21

  16. Och det som behövs för att fixa detta är en alternativ krypteringsstruktur till Verisigns m.fl. SSL/TSL. Troligen är certifikatsträdet det största problemet, och byggandet av ett alternativ. icke manipulerbar, struktur är något som mycket väl kan sponsras av EU (men knappast göras av EU för då sitter vi säkert snabbt i en liknande sörja igen).

    Kommentar av pwq — 6 september 2013 @ 16:54

  17. Det är i alla fall bättre att NSA kommer åt informationen än att terrorister och kriminella gör det.

    Kommentar av nejtillpirater — 6 september 2013 @ 17:31

  18. @Jan Garefelt #9 Nej, när historiker summerar perioden 1990-2020 kommer de att skriva ”Perioden då de mycket kloka, snälla och intelligenta människorna som skapade NSA, GCHQ och FRA förstod att något behövde göras, att alla kunde vara terrorister, och behövde kontrolleras. Det lade grunden till vårt nuvarande, underbara, People’s United Democratic States of Earth, där inga brott kan begås, och man inte ens kan tänka sig att rösta på partier som vill tillåta möjligheten att begå brott.” Ej utskrivet: ”eftersom man då blir ”korrigerad””.

    Kommentar av Ano Nym — 6 september 2013 @ 17:46

  19. @nejtillpirater #17: Problemet är att NSA har brutit upp de flesta dörrar så att terroister och kriminella kommer in. Det är därför man har lagstiftning som förbjuder myndigheter att gå och bryta upp dörrar hur som helst.

    Kommentar av pwq — 6 september 2013 @ 18:05

  20. @nejtillpirater:

    Du skriver:
    ”Det är i alla fall bättre att NSA kommer åt informationen än att terrorister och kriminella gör det.”

    Varför skulle det vara antingen eller? Det kan mycket väl finnas NSA-kontraktörer som bedriver tveksamma verksamheter på sin fritid. Det är rentav troligt. Ett informationsövertag är ju precis vad skurkar vill ha. Har de ett informationsövertag gentemot polisen så kommer de ju undan. Om några så är det ju de som jobbar där som har kunskapen att sopa igen spåren efter sig.

    Kommentar av gurra — 6 september 2013 @ 18:13

  21. @ Nejtillpirater

    Det är i alla fall bättre att NSA kommer åt informationen än att terrorister och kriminella gör det.

    Genom att skapa dessa bakdörrar så öppnar du även upp för dina ”terrorister och kriminella”.

    Kommentar av Professor — 8 september 2013 @ 6:22

  22. […] Christian Engström, en av Piratpartiets två svenska EU-parlamentariker skriver om samma sak här: NSA har bakdörrar till en stor del av all krypterad internettrafik […]

    Pingback av Gästbloggare Ola Andersson – därför är jag pirat | TantraBlog — 10 september 2013 @ 16:25

  23. […] NSA har bakdörrar till en stor del av all krypterad internettrafik […]

    Pingback av Free and thinking » Bakdörren till ert bankkonto är vidöppen för den som vet var den finns - IDG.se - Störst på it-nyheter — 12 september 2013 @ 5:04


RSS feed for comments on this post.

Skapa en gratis webbplats eller blogg på WordPress.com.

%d bloggare gillar detta: