I morges norsk tid la juridisk direktør i Microsoft, Brad Smith, ut dette innlegget på selskapets offisielle blogg: Protecting customer data from government snooping (Å verne kundedata mot statlig snoking).
Smith, som har vært Microsofts ledende jurist siden 2002, nevner ikke den amerikanske etterretningstjenesten NSA direkte. Han viser derimot til at Microsoft deler bekymringen som mange kunder gir uttrykk for om statlig snoking.
– Vi er spesielt engstelige for medieoppslag om noen staters brede og samordnede anstrengelser for å omgå sikkerhetstiltak på nett, skriver Smith.
Dette er en henvisning til blant annet et strategidokument fra NSA om signaletterretning, som ble lekket til New York Times for ti dager siden (se artikkelen – Må kunne knekke all kryptering). Et hovedpoeng i dette dokumentet er at NSA ikke bare må være verdens ledende miljø innen kryptering, de må også være i stand til å knekke all annen kryptering. Det er begrunnet mistanke om at NSA har svekket internasjonale krypteringsstandarder for å sikre seg denne muligheten (se artikkelen Hva bør vi få vite?).
Smith poengterer at IT- og informasjonssikkerhet er lovlige måter for kunder å beskytte seg. Han er spesielt oppgitt over medieoppslag om hvordan statlige myndigheter fanger opp og lagrer kundedata uten ransakingsordre eller annen juridisk dekning. Han karakteriserer statlig snoking som en «avansert og vedvarende trussel» («advanced persistent threat», APT).
Microsoft lover tre typer tiltak: Utvidet bruk av kryptering, styrket juridisk vern om kundedata og økt tilgang til innsikt i selskapets kildekode.
Kryptering
Smith skriver at Microsoft ikke har direkte bevis på at kundedata er krenket fra statlig hold, men at de ikke ønsker å ta sjanser. Derfor skal kundedata underlegges forsterket kryptering gjennom alle selskapets nettverk og tjenester. Dette gjelder alle selskapets tjenester innen kommunikasjon produktivitet og utvikling. Smith nevner spesielt Outlook.com, Office 365, SkyDrive og Windows Azure.
Alle data i transitt skal krypteres. Alt kundeinnhold som lagres hos Microsoft skal krypteres. Der tredjepart lagrer sine kunder innhold i Azure, skal de sikres verktøy for å kunne tilby tilsvarende kryptering.
Med forsterket kryptering mener Microsoft nøkler på 2048 bit, og en teknologi kjent som «Perfect Forward Secrecy» (PFS). Dette er en måte å håndtere nøkkelutveksling ved etablering av krypterte forbindelser med vesentlig sterkere sikkerhet enn tilbys gjennom vanlig SSL. Observatører er gjennomgående enige om at PFS undergraver NSAs mulighet til å dekryptere innholdet i meldingene de fanger opp, se for eksempel denne utredningen fra Netcraft.
Google tok i bruk PFS i 2011. Facebook meldte tidlig i november at de vil bruke PFS (se artikkelen Skal gjøre det vanskeligere for NSA). Twitter sa det samme for to uker siden (se den offisielle Twitter-bloggen). Her slutter altså Microsoft seg til en pågående trend.
(Det man kan undre seg over er at PFS ikke for lengst er i allmenn bruk. Teknologien ble oppfunnet i 1992. Aktivistorganisasjonen Electronic Frontier Foundation har lenge agitert for PFS, se innlegget Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection.)
Microsoft lover at alle krypteringsrelaterte tiltak skal være på plass innen utgangen av 2014. Smith bedyrer at mye er i drift allerede i dag, og at innhold og data håndtert av Office 365 og Windows Azure er kryptert i transitt mellom Microsofts datasentraler.
Juridisk vern
Microsoft lover å varsle kunder dersom de mottar pålegg fra myndigheter om å oppgi kundeinformasjon. Dersom pålegget er utstyrt med et forbud mot å varsle kunden – slik tilfellet skal være med NSA – lover Smith at de vil ta rettslige skritt for å utfordre forbudet. Smith understreker at dette skal gjelde også over landegrensene.
Kildekode
Ifølge Smith ønsker Microsoft å vise statlige myndigheter at det er mye å hente gjennom mer åpenhet, ved selv opptre mer åpent.
Konkret innebærer det at Microsoft vil gi statlige myndigheter økt tilgang til kildekode, slik at de med selvsyn kan konstatere at det ikke finnes bakdører.
Smith sier at Microsoft vil åpne «innsiktssentraler» («transparency centers») i Europa, Amerika og Asia, der kunder i det offentlige skal gis enda flere muligheter til å kontrollere Microsoft-produkters integritet.
Til slutt diskuterer Smith offentlige myndigheters påstand om at de må sikres tilgang til opplysninger for å trygge sine borgere.
– Vi ønsker alle å leve i en verden som er sikker og trygg. Samtidig ønsker vi å leve i et land som er vernet av grunnloven. Vi ønsker å sikre at viktige spørsmål om myndigheters tilgang avgjøres av rettslige instanser framfor å dikteres av teknologisk makt. Vi har fokus på å anvende nye vernetiltak globalt, fordi vi erkjenner at disse spørsmålene og utfordringene er globale i sin natur. Vi tror våre nye tiltak har den rette balansen. De fremmer både sikkerheten vi trenger og personvernet vi fortjener, skriver Smith til slutt.