Uansett om du oppretter en sikret HTTPS-forbindelse til nettbanken eller krypterer data på pc-en og mobiltelefonen, foregår det med all sannsynlighet via AES (Advanced Encryption Standard), som er standardisert i USA. Men kan vi egentlig stole på krypteringen?
17. januar publiserte vi en artikkel om hvordan det kan være bakdører i den matematikken som danner grunnlaget for krypteringen. En slik bakdør kan i prinsippet gjøre det mulig for en innbryter å dekryptere data uavhengig av den underliggende programvare-implementeringen på for eksempel Android, MacOS, Linux, Windows, Firefox, Chrome etc.
På it-sikkerhetskonferansen Black Hat Europe, som ble arrangert i London i desember, fortalte Eric Filiol om matematiske bakdører innen kryptering. Han er forskningssjef ved Operational Cryptology and Virology Lab ved det franske ESIEA-universitet (École Supérieure d'Informatique, Électronique, Automatique) i Paris.
For å demonstrere at slike saker ikke bare er ren teori, har han sammen med Arnaud Bannier lagd en proof-of-concept-algoritme kalt BEA-1, som inneholder en bakdør. En angriper med kjennskap til bakdøren, kan få tak i krypteringsnøkkelen ut fra 300 kB data i klartekst og 300 kB av de tilsvarende dataene i kryptert format.
Da danske Version2 intervjuet Eric Filiol på Black Hat, framholdt han, at en slik bakdør i matematikken ikke nødvendigvis er enkel å oppdage. I hvert fall skal det ikke være noen som har lyktes med å finne bakdøren i BEA-1 i perioden fra algoritmen ble presentert i februar 2017 og fram til Filiol selv avslørte bakdøren på Black Hat i desember.
I forbindelse med intervjuet antydet Eric Filiol også at AES kan vise seg å inneholde en bakdør i matematikken som ikke har blitt oppdaget, og som amerikanerne kjenner til.
Ikke noe er bevist. Men det i seg selv gir ingen garanti, mener Filiol.
– Vi erstatter beviset for sikkerhet med fraværet av beviset for usikkerhet. Dette kan ikke aksepteres for følsom trafikk.
Når AES blir brukt alle steder, henger det ifølge Filiol i høy grad sammen med at det er den standarden som de amerikanske teknologi-gigantene bruker. Dermed er dette krypteringsstandarden i den maskinvaren og den programvaren vi alle sammen er brukere av.
For å skape alternativer til AES, etterlyser Filiol et åpen kildekode-samfunn med fokus på utvikling av kryptering.
– Vi har behov for åpen kildekode-kryptografi. Inntil nå har åpen kildekode vært relatert til programvare. Jeg mener at vi nå har behov for å åpen kildekode-utvikle matematiske ting og kryptografi.
To belgiere
Professor Ivan Damgård ved Institut for Datalogi på Aarhus Universitet og ekspert i kryptologi, mener i utgangspunktet at det er grunn til å stole på AES. Han knytter dette blant annet til algoritmens opphavsmenn; de to belgierne Vincent Rijmen og Joan Daemen.
Deres algoritme vant en konkurranse-lignende prosess som ble arrangert av den amerikanske standardiseringsorganisasjonen National Institute of Standards and Technology (NIST) på slutten av 90-tallet.
Forskere fra forskjellige land kom med kandidater i form av krypteringsalgoritmer, som forslag til det som skulle bli til Advanced Encryption Standard.
De to belgierne Vincent Rijmen og Joan Daemen vant med algoritmen Rijndael – et navn som er sammensatt av navnene til opphavsmennene.
– Den er utviklet av to belgiere som etter min beste overbevisning ikke er i lomma på de amerikanske myndighetene, og jeg kjenner dem begge litt. Videre er standarden akkurat slik som de foreslo, det er ikke endret noe som helst, heter det i et skriftlig svar fra Ivan Damgård, med henvisning til at den krypteringen som endte med å bli godkjent som standard, er i overensstemmelse med belgiernes opprinnelige input.
Med andre ord er det ingen ting som tyder på at det er lagt inn en bakdør etter at belgierne har avlevert sitt forslag. Og dette har blitt gjort til den standarden som i dag er godkjent til sikring av fortrolige data på høyt nivå i USA.
I tillegg til dette peker Ivan Damgård på at hele forløpet der Rijndael endte med å bli til AES, har vært åpent.
– Og valget av algoritmen er jo også foretatt etter en åpen konkurranse arrangert av NIST, det amerikanske standardiseringsorganet, hvor alle som hadde lyst kunne prøve å knekke de algoritmene som var med i konkurransen. Man må huske at de folkene som var med, dels var noen av dem som vet mest om kryptoanalyse, og samtidig hadde de jo sterke insitamenter til å knekke konkurrentenes forslag.
– Fantastisk vilt og totalt hinsides
En av dem som i den forbindelsen har hatt et insitament til å knekke konkurrentenes forslag, er professor Lars Ramkilde Knudsen ved Compute på Danmarks tekniske universitet.
Han deltok nemlig også i NIST-konkurransen med algoritmen Serpent, som kom på andre plass. Og Lars Ramkilde Knudsen har også gått AES etter i sømmene.
– Algoritmen AES er lagd av to belgiere som jeg kjenner personlig. De er mine personlige venner. De har ikke lagt inn en bakdør, det kan jeg love deg. Jeg delte kontor med dem den gangen de lagde den algoritmen, og jeg vet hvordan den virker, sier Ramkilde, og legger til:
– Jeg er også ekspert innen dette området, og det er ikke noen bakdør i AES. Hvis det er en bakdør i AES, så kan amerikanerne et eller annet fantastisk vilt og totalt hinsides som vi ikke kjenner til, sier Lars Ramkilde Knudsen.
Kunne man forestille seg at det i tidens løp har blitt funnet en svakhet i AES, slik at selv om de to belgiere ikke har hatt ond vilje på noe tidspunkt, så finnes det kanskje noen som vet noe?
– Jeg tror ikke på det. Det er klart at de er sterke i NSA, matematikerne. De er noen år foran oss. Selvfølgelig kan de noe.
Lars Ramkilde Knudsen peker på at svake passord, oppsnapping av krypteringsnøkler og utpressing i forhold til å få folk til å utlevere passord, er mer sannsynlige metoder for hvordan en angriper vil kunne oppnå adgang til krypterte data, enn at det skulle være en hemmelig svakhet i AES som noen kjenner til.
– Vi vet at etterretningstjenester ikke lenger angriper krypteringsalgoritmer – i hvert fall ikke når det er AES. De angriper nøkkelhåndteringen. Altså hvordan nøklene blir valgt, og hvordan de blir utvekslet. Om du har verdens sterkeste kryptering, og du ikke utveksler nøklene dine sikkert mellom A og B, er krypteringen verdiløs, sier Lars Ramkilde Knudsen.
Selv om universitetsprofessoren i utgangspunktet har tillit til AES, er han likevel umiddelbart enig med Eric Filiol i at det vil være fint med flere alternativer til AES.
Ramkildes argument er at hvis det reelt ble brukt flere forskjellige former for kryptering, ville krypteringstypen ved oppsnapping av data først måtte identifiseres før forsøkene på å knekke krypteringen kunne begynne.
«… minst to eller tre parallelle algoritmer»
En dansk blogger med innsikt i it-sikkerhet, Poul-Henning Kamp, mener også at det ville være fint med flere alternativer til AES. For eksempel hvis det viser seg å være en svakhet i den allestedsnærværende krypteringsstandarden.
«Det bør være minst to eller tre parallelle algoritmer, slik at vi kan stenge en av dem hvis det blir problemer, og man burde velge en tilfeldig algoritme for hver kommunikasjon,» skriver Poul-Henning Kamp i en e-post.
Bortsett fra det, er Poul-Henning Kamp i utgangspunktet komfortabel med å bruke AES til det meste.
«Men hvis det dreide seg om kommunikasjon mellom regjeringens medlemmer, forsvarsstaben, beredskapen, diplomati osv, ville jeg ikke tørre å bruke bare AES, jeg ville som et minstekrav bruke tolags kryptering.»
Som sådan mistenker Poul-Henning Kamp ikke at de to belgiske opphavsmennene til AES bevisst har bygd inn en bakdør. Men han påpeker at en etterretningstjeneste kunne ha funnet en svakhet.
– Den største risikoen er antakelig at NSA, KGB, Mossad, GCHQ osv. har kommet på noe smart, skriver Poul-Henning Kamp, og fortsetter:
«NSA har etter alt å dømme minst 100 ganger så mange kryptografer ansatt som det finnes i den åpne forskningen på verdensplan, og det ville være totalt inkompetent ledelse hvis de ikke hadde svidd av hundrevis av årsverk på å stirre skeptisk på AES.»
Les også: Forskere mener kryptovalutakurser er altfor lette å manipulere (version2.dk)
Artikkelen er levert av Version2.dk