– Jag är förbluffad. Kalla mig dum men jag litade på SSL, säger Mikko Hyppönen som är forskningschef på finska säkerhetsföretaget F-Secure.
SSL är den krypteringsstandard som används för kommunikation bland annat mellan din webbläsare och din internetbank eller för att säkra dina uppgifter när du handlar på internet. Tekniken används också för att säkra kommunikationen när du använder webbmejl hos till exempel Google.
– Om det vi fått reda på nu stämmer kan vi inte lita på SSL och det är stort. Det är en basal byggsten för säker kommunikation på internet i dag, säger Mikko Hyppönen.
Han ser heller inget enkelt sätt att reparera skadan om det visar sig att SSL inte är säkert.
– När vi byggt ett säkert system under 20 år och det helt plötsligt faller samman, om det nu är vad som hände igår, så fixar vi det inte i en handvändning. För mig är det här det största avslöjandet från Snowden.
SSL är bara ett av alla kryptosystem som Edward Snowdens nya avslöjande pekar på att NSA har tillgång till. I de dokument som kommit fram visar NSA på att de lyckats påverka ett antal standarder för kryptering på ett sådant sätt att de själva ska kunna bryta kryptot.
Joachim Strömbergson på it-säkerhetsföretaget Secworks tycker att det är svårt att dra säkra slutsatser eftersom det material som publicerats från Snowdens läcka är begränsat, men han menar att den bekräftar uppgifter som funnits bland kryptoexperter en längre tid om hur NSA lägger in bakdörrar i olika standarder för kryptering på nätet.
– Man har misstänkt sedan ganska länge att det är så här, säger han.
Som exempel nämner han ett system för att ta fram slumptal för kryptering som lanserats av NSA och där det redan 2007 fanns forskare som pekade på att det hade brister.
– Just det systemet är ganska långsamt och frågan är hur mycket det används i dag, säger Joachim Strömbergson.
Den aktuella standarden togs fram av den amerikanska standardorganisationer NIST som ligger bakom kryptostandarder som till exempel DES. Standarden togs fram bakom stängda dörrar tillsammans med bland annat NSA.
– Det som förtjänar att nämnas är att i dag arbetar NIST öppet med tävlingar när nya standarder ska tas fram, säger Joachim Strömbergson.
Han nämner AES som exempel på en standard som tagits fram av europeiska forskare i en öppen tävling.
– Men det finns flera standarder där det finns konstanter som man inte kan härleda var de kommer ifrån och det gillar man inte, säger Joachim Strömbergson.
Det kan betyda att det finns speciella tal som kan användas för att enkelt knäcka ett krypto.
Men även i de standarder som tas fram öppet kan det finnas risk att någon för in bakdörrar, framför allt när de ursprungliga algoritmerna ska tillämpas i program.
– Det riktigt intressanta är inte att NSA försöker forcera krypton utan att de ger sig på leverantörer av säkerhetssystem för att lägga in bakdörrar, säger Joachim Strömbergson.
Han tror också att NSA och andra underrättelsetjänster lägger mycket krut på att leta efter buggar i system för sedan utnyttjar dessa svagheter. Han ser också att det blir vanligare att säkerhetsexperter som hittar fel inte längre publicerar det öppet utan i stället säljer informationen vidare till olika säkerhetstjänster.
– Det skrämmer mig att det som tidigare varit en öppen och akademisk process gått till att bli en marknad, säger Joachim Strömbergson.
