söndag 8 september 2013

"NSA ser allt - så vad gör vi nu?" - Computer Sweden

"NSA ser allt - så vad gör vi nu?" - Computer Sweden

Kryptoaffären: Visst, vi kan bygga om hela internet - eller så löser vi problemet, skriver CS nyhetschef Marcus Jerräng.

Sprängstoffet i visslaren Edward Snowdens material verkar inte ha någon ände. Avslöjandena hittills har hållit en blandad nivå på chockskalan, från lätta gäspningar (NSA signalspanar i fiberkabel, NSA samlar in metadata från teleoperatörer) till rejält höjda ögonbryn (NSA tvingar till sig bakdörrar hos Google, Facebook och Microsoft). Och så det senaste som får klassas som hakan i golvet: NSA säger sig kunna dekryptera SSL-trafik.

Att något i den här klassen skulla komma var ganska väntat. Redan när Washington Post för en vecka sedan publicerade USAs hemliga budget för underrättelsetjänsten (56,2 miljarder dollar per år) fanns kryptofrågan i materialet. James Clapper, högste chef för underrättelsetjänsterna i USA, skriver i budgeten att det investeras i "banbrytande kryptoanalytiska möjligheter för att besegra fientlig kryptering och exploatera internettrafik".

Hur det hela fungerar är högst oklart. Men som säkerhetsgurun Bruce Schneier konstaterar handlar det inte om matematik, utan om "fusk". Det vill säga: kryptona är inte knäckta, men via bakdörrar och liknande kan de ändå dekrypteras.

Ett stort problem är att vi inte vet vilka krypton det gäller och vilka leverantörer som gått med på NSAs krav om bakdörrar. Trojkan Guardian/New York Times/Pro Publica medger att de undvikit att publicera vissa detaljer efter vädjan från myndigheterna. Det vore olyckligt om de detaljerna handlar just om utpekade företag och krypteringslösningar. Företagen vars produkter inte är säkra behöver hängas ut, för att kunderna ska kunna välja om de fortfarande vill ge dem sina pengar. Det kommer ruinera företagen, förstås, men sådan är kapitalismen.

Efter gårdagskvällens avslöjande anser Bruce Schneier att internet i princip är förstört. F-Secures Mikko Hyppönen är förbluffad (han använde i intervjun med CS det engelska ordet "flabbergasted", som är än starkare) av att det inte verkar gå att lita på SSL längre.

Så frågan är - vad gör vi nu?

Jag vidhåller, som även Bruce Schneier är inne på, att detta inte är en fråga om teknik. Det är väldigt lätt att tappa fokus genom att börja prata om öppen kod, NSA-säker teknik, nya krypton och så vidare. Det skadar inte att dra på sig hängslen och spänna bältet, och försvåra för snokande agenter, men det löser inte grundproblematiken.

NSAs, GHCQs och de svenska kollegorna FRAs syfte, dess mål och dess metoder är politik, inget annat. Frågorna medborgare i alla länder bör ställa sig och sina politiker är således:

Ska vi ha en underrättelsetjänst?
Vad ska den arbeta med?
Hur får den arbeta?
Var går gränserna?
Vilka eftergifter är vi beredda att göra?

Innan de frågorna är besvarade - för vi verkar behöva nya svar - och satta i icke hemligstämplad lagtext kan vi bygga om internet 10 gånger utan att det blir någon förändring.

Det är inte öppen kod som behövs, det är öppen politik. 

Inga kommentarer:

Skicka en kommentar