Konsultbolag som specialiserat sig på kryptografi har fått vind i seglen sedan Edward Snowden avslöjat omfattningen av de amerikanska underrättelsetjänsternas förmåga att övervaka datatrafik och ta sig förbi både brandväggar och kryptering.
Nu höjs röster om att det är dags för hela branschen att revidera synen på kryptering.
– Det handlar om en klassisk katt-och-råtta-lek där krypteringens betydelse minskar ur NSAs perspektiv när tjänsteleverantörer ändå lämnar ut dekrypterade data, som det visat sig att de gör, säger Per Hägerö, teknikchef på det svenska säkerhetsföretaget Nexus.
– Vi ser dock en ökad efterfrågan från kunder som vill kryptera data i till exempel molnapplikationer så att de kan styra över vem som kan läsa.
Frågan är då vilka konkreta åtgärder som företag bör vidta för att skydda affärskritisk data. Ett uppenbart problem är att den amerikanska underrättelsetjänsten NSA under lång tid varit pådrivande för utveckling av ett antal standarder som nu visat sig ha försetts med bakdörrar.
– Det man kan säga är att vissa standarder och algoritmer har granskats öppet mer än andra. Det är fördelaktigt att välja välgranskade algoritmer och öppna implementationer snarare än slutna system om det är NSA man vill skydda sig mot, säger Jesper Andersson, säkerhetskonsult på Safeside Solutions.
Han framhåller att ssl-standarden redan före Snowdens avslöjanden visade sig ha många svagheter, men att den största bristen är att många servrar fortfarande använder äldre versioner av ssl. Inte heller RSAs kryptografiska algoritmer anses uppfylla säkerhetskraven. De längre och säkrare krypteringsnycklar som krävs där innebär dessutom stora prestandasänkningar.
– RSA blir inte längre användbart rent praktiskt, så när långa nycklar och hög säkerhet behövs bör man byta till algoritmen ecc.
Jesper Andersson säger att ecc är den enda beprövade och spridda asymmetriska algoritmen som inte har några påvisade brister vid rätt användning.
– För en hållbart pki rekommenderar vi därför att endast införskaffa program och hårdvara som klarar ecc och endast skapa ecc-certifikat.
Specifikt bör man välja att använda sig av minst ecc 256, vilket ger 128 bitars säkerhet och därför bedöms skydda hemligheter förbi år 2030 utan att försämra prestanda i onödan med för starka krypton.
Även Microsofts säkerhetsspecialist Daniel Akenine är inne på det spåret.
– Just frågan om effektiv ecc forskar Microsoft Research intensivt på. I alla våra operativsystemen från Windows Vista och uppåt finns stöd för Cryptography next generation som stöder ecc, säger Daniel Akenine.
I morgon klockan 10 kommer Joachim Strömbergson, expert på kryptering, svara på era frågor under en timme. Redan klockan 8 kommer chatten att öppna för er som vill ställa frågor i förväg.
- Ecc 256 ger 128 bitars säkerhet till skillnad från RSA 2048 (2048 bitars nyckellängd) som har 112 bitars säkerhet och inte anses vara framtidssäkert.
- För ett år sedan drog Microsoft tillbaka stöd för certifikat med mindre än 1024 bitars nyckellängder.
ssl – secure socket layer.
tls – transport layer security. Avsett som ersättare för ssl.
RSA – algoritm för asymmetrisk kryptering. Uppkallad efter upphovsmännen Rivest, Shamir och Adleman.
ecc – elliptic curve crypto, algoritm för asymmetrisk kryptering med hjälp av elliptiska kurvor. Togs först fram 1985 och rekommenderas av National Institute of Standards and Technology, Nist.
pki – public key infrastructure. Struktur för kryptering med öppen nyckel.
