Etablering av kryptering i en fei

Publisert: 06.01.2015 | Sist endret: 08.01.2015

Eller, hvorfor man ikke bare kan trykke på en knapp og kryptere all SMS?

Etter avsløringene om at det foregår mobilavlytting, eller i det minste mobilsporing, i Oslo sentrum, har behovet for kryptering på nytt blitt aktualisert. En rekke politikere og kommentatorer har sagt at sikre løsninger må etableres og tilbys, og til og med en "teknologiekspert" peker på behovet for kryptert SMS og kryptert epost.

Det er helt klart et behov for sikre kommunikasjonsløsninger, både for ulike tale- og datatjenester, men man må huske på at de fleste standarder, spesielt innen telekommunikasjon, ikke bare åpner for avlytting, men krever mulighet for avlytting. Dermed har standardene (og dermed løsningene) sørget for at kommunikasjonen skjer i klartekst i minst ett punkt mellom kommunikasjonspartene. Og så lenge standardene i bunn for kommunikasjonen ikke tilrettelegger for ende-til-ende-kryptering, må man legge dette til oppå kommunikasjonskanalen.

Kryptering i seg selv er ikke lenger spesielt vanskelig. Både algoritmer og nøkkellengder er standardiserte og en rekke implementasjoner er også tilgjengelig og følger med i ulike operativsystem og programvarepakker.

Noe av det vanskeligste er hvordan man skal utveksle nøkler. Dette har vært det store problemet siden man begynte med kryptering, og selv om løsninger har kommet underveis for å lette på problemet, som digitale sertifikater og offentlig nøkkelhierarki, har også nye problemer dukket opp.

Ill.: Colourbox.noTeleoperatørene leverer nøkler på SIM-kortet som gir en- eller to-veis autentisering mellom mobilen og mobilnettet (henholdsvis i 2G eller 3G/4G). Disse nøklene benyttes ikke for ende-til-ende autentisering eller -kryptering av kommunikasjonen mellom to mobiltelefoner. Så når det pekes på behov for kryptering av SMS, må man altså samtidig forvalte nye nøkler som kan utstedes til alle som har behov for kryptert SMS; som alle politikere og ikke minst alle politikerne kommuniserer med. Dermed ender man fort opp med at alle i Norge må få nøkler for å sikre kommunikasjonen mellom seg.

Men det er ikke nok å utstede nøkler, for SMS-standarden, støtter ikke kryptering av meldingene. Dermed trenger man et nytt nivå oppå SMS som leser en kryptert SMS-melding, bruker nøkkelen for å dekryptere meldingen og viser frem meldingen i klartekst til brukeren. Altså må man lage en "app" på ulike plattformer som kan forvalte nøkler, hente ut og dekryptere SMSer, og skrive, kryptere og sende SMSer. Dermed blir den "universelle" kommunikasjonskanalen SMS til en øy av ulike, men sikrere løsninger.

For brukere som tilhører samme organisasjon og skal sikre sitt interne kommunikasjonsbehov er dette ikke noe stort problem. Disse brukerne vil ha likt utstyr (mobiltelefoner/operativsystem) og enhetsstyring, og utstedelse av en sikker kommunikasjonsløsning med tilhørende nøkler er en relativt triviell sak.

Det er når man skal tilby sikre kommunikasjonsløsninger til ulike brukere med ulike operativsystem, ulikt sikkerhetsnivå på mobiltelefonen og ulik støtte for applikasjoner og kryptonøkler og -system at man møter veggen.

For å gå tilbake til artikkelen i innledningen og behovet for kryptert SMS, forstår man at det ikke er lett å etablere denne tjenesten. Det kan gjøres om behovet "kun" er mellom en lukket gruppe brukere som får utstedt samme telefon og nøkkelmateriell fra samme leverandør, men om man ønsker å tilby sikker SMS til andre, må altså andre løsninger etableres.

Behovet for kryptert epost, som også adresseres i artikkelen, kan i stor grad løses med enkle midler. Kryptering av kommunikasjonen mellom epost-tjenere sikres enkelt ved hjelp av STARTTLS. I tillegg er ofte kommunikasjonen mellom epostklienter og eposttjenere kryptert. Så selv uten ende-til-ende-kryptering, er epost-kommunikasjonen ikke tilgjengelig for tredjepart. Men, siden mange, blant annet politiske partier og private selskaper, benytter eposttjenester i skyen som flyter utover landegrensene, vil det være behov for ende-til-ende-kryptering. Dette er heldigvis standardisert og man trenger kun bruker-sertifikat for å kunne motta S/MIME-kryptert epost. En annen velkjent og mye brukt løsning er PGP.

comments powered by Disqus