Kryptografi, sikkerhet på måfå
Jeg har alltid vært fascinert av kryptografi og har dykket ned i en rekke forskjellige problemstillinger rundt akkurat det – sikkerhet og kryptering. Mye interessant som kommer ut av kryptering dog desverre er vi langt i fra flinke til å benytte oss av den teknologien som eksisterer. Teknologer og større bedrifter er – i hovedsak – flinke til å sikre data, men andre er ikke fullt så flinke. Dette er dog en helt egen diskusjon.
En av de tingene jeg verdsetter ved kryptografer er at man trenger ikke kjede seg så lenge man er interessert i å diskutere sikkerhet og kryptografi. En av de tingene jeg har prøvd å forstå – men hvor mine mattematiske egenskaper ikke har strukket helt til er elliptiske kurver (ECC). Microsoft blant annet har benyttet seg av slike teknikker i genereringen og verifiseringen av produktnøkler.
Opphetede diskusjoner er ett gjennomgangstema og noen ganger kan man nesten tro at det er epileptiske kurver man diskuterer. Jeg deltok i en diskusjon rundt styrken på kryptering og hvorvidt man kan føle seg trygg. En diskusjon som kulminerte i ett problem;
I kryptografi så er styrken på en kryptering evnen til å motstå angrep fra nåværende kjente algoritmer.
Med andre ord så kan man eliminere tankegangen rundt kryptering som uendelig sikker. Mattematisk sett så kan man ikke bevise styrken siden alt er sterkt inntil det motsatte er bevist. Det er også liten vits i å prøve å sammenligne styrker, da krypteringsløsninger ofte har helt forskjellige implementeringsmetodikk og gjennomføring. Skal man først sammenligne noe så bør det være løsninger som da i så fall er rimelig like. Styrken ligger derfor i hvor lang tid det tar å knekke krypteringen.
Fra XKCD: http://xkcd.com/538/
Derfor så kan man summere opp dette i en enkel setning; all krypteringsstyrke er basert på en stor forutsetning; at de ”gode” folkene har mer kunnskap enn de ”onde”. Vi tror at noe er sterkt fordi ingen har publisert en løsning på hvordan knekke dette – det kan eksistere løsninger for å knekke en kryptering, men før man ser det beskrevet, så snur man det døve øret til.
Det som er artig her da, er at alle kryptologer er rimelig sikre på at det finnes en løsning rundt implementeringen, men siden ingen (de gode folkene) har funnet det enda, håper man derfor på at ingen (de onde folkene) vil klare å komme opp med en løsning mens denne implementeringen er i bruk.
Alle forutsetter at det sitter doktorer, mattematikere og andre hobbykryptologer der ute som bare klør etter å publisere løsningen rundt en kryptering på internett, ikke for å tjene noe på det, men for å hjelpe andre. Akk – hadde det vært så vel. Det finnes nok av implementasjoner og kryptologiskeløsninger og det er ikke nok personer i verden som ønsker å dedikere fritiden sin til slik bruk.
På motsatt side så finner vi derimot de som ikke har fullt så gode motiver for å knekke en kryptering. Disse personene fokuserer da bare på en gitt algoritme, og de har tid, de har ressurser og de har motivasjonen til å knekke implementasjonen. De har ingen intensjon om å publisere sine funn til omverdenen, og de kan derfor benytte seg av løsningen i det skjulte i en årrekke før andre i det hele tatt er klar over at en implementasjon er knekt.
Så hvilken side leder? Har vi kryptografiskeløsninger som tilfredstiller sikkerhetsmessige behov? Vi kan aldri vite – og dette, er det vi i dagens samfunn referer til som sikkerhet. Uvitenhet er ett gode – resten løser vi med hammer.
Siste kommentarer