Noen vil stjele deg

I løpet av neste år skal de nordmenn som ønsker det, kunne få ny identitet - en elektronisk id. Med e-identitet skal du slippe lange køer og tapte arbeidsdager for å samtale med det offentlige. Alt skal skje via nettet, og kommunikasjonen skal være sikker - alt fra resepten du får hos legen, til kontakten med Nav, ligningskontoret og nettbanken. Men hva gjør du når alle datasikkerhetens regler faktisk er fulgt, og du oppdager at de slett ikke er gode nok, spør siste nummer av Ntnu-tidsskriftet Gemini.

Sikkert som et korthus

Og det største hullet befinner seg på det dypeste av sikkerhetsnivåene. Noen av gullstandardene for grunnleggende kryptering må rett og slett skrives om.Svein Knapskog er professor i telematikk ved Ntnu, og forteller om et digitalt korthus: - Du er selv den største sikkerhetsrisikoen. Men selv om du er pinlig nøye, har virusprogrammer og phishingfilter, og aldri tillater noe tull med pc-en din, så er det ikke nok. Internett er et digitalt korthus med tanke på sikkerhet. Det er mange hull i de tekniske løsningene som brukes i dag, og rike muligheter for snyltere og kjeltringer til å utnytte disse. Vi bør absolutt tenke oss grundig om før vi gjennomfører bruk av nasjonal elektronisk id i stor skala. Vi har et arbeid å gjøre på sikkerhetsfronten først. Vi må faktisk skrive om noen av de grunnleggende internasjonale standardene for hvordan vi lager sikker kryptering av data som sendes over internett. Når det er gjort, da kan vi senke skuldrene litt, sier Knapskog til Gemini.

Nøkkelen til sikkerhet

" - Det er nøkler det handler om, de nøklene som lukker og åpner informasjonspakkene vi sender via nettet. Nøklene som sørger for at de som snoker inne blant de uforståelige rekkene av ett-tall og nuller, ikke skal kunne lese dem slik du og jeg som sitter med nøklene kan.Men Ntnu-forskerne har oppdaget en særegenhet ved disse nøklene: Bruker vi den samme nøkkelen to ganger, er sikkerheten borte. Hvordan forklarer vi dette? - La oss tenke oss tilbake til gamle dager, sier Knapskog, - og se for oss at vi skal levere et brev med hemmelig innhold. Kanskje er det en spion som har funnet ut noe som kan forandre krigens gang. Kanskje er det hemmelig kjærlighet mellom to som ikke får lov til å møtes. Uansett må ingen andre få fatt i innholdet i brevet, og det er avtalt en hemmelig kode for hvordan brevet skal leses. Uvitende vil ikke forstå noe, mens de som kjenner koden, kan lese brevet med letthet. I vår tid er det et eget program som bruker digitale nøkler når våre digitale sendinger skal sikres og kodes. Det kalles krypteringsbibliotek. Det vi har funnet ut, er at når vi bruker slike krypteringsbibliotek der personene i hver ende av sendingen har samme kodenøkkel og bruker den til mer enn ett formål, så kan utenforstående lese av informasjonen uten å ha tilgang til nøklene. Det er som om vi ikke skulle brukt krypteringsnøkler i det hele tatt.

Stikkordet er nøkkelhåndtering

- Så vi trenger å få inn i standarden for hvordan slike krypteringsbibliotek lages, at samme kodenøkkel aldri skal brukes mer enn én enkelt gang. Det står ikke i standarden i dag. Formuleringen er slik at vi kan tro at det er helt greit å bruke samme nøkler hele tiden.

Stikkordet er altså nøkkelhåndtering. Knapskog har i lengre tid forsøkt å få innsikt i hvordan denne nøkkelhåndteringen foregår i de enkelte sikkerhetsløsningene som er aktuelle for elektronisk id i Norge. Nå begynner det å løsne.

Sikkerhet på papiret

- Så tror du kanskje at vi har offentlige tilsyn som sjekker og godkjenner hvordan sikkerheten håndteres i de selskapene som skal ta hånd om din private informasjon? Som forbruker forventer du at det finnes et regelverk som skal sikre deg, i hvert fall når du skal dele personlig informasjon. Passord og små kalkulatorlignende dingser skal sikre deg mot ran i nettbanken og digitalt identitetstyveri? Jo da, det finnes regler. Personvernlov og datatilsyn. Men det finnes ikke noen regel som sier at datasikkerheten skal sjekkes. Det holder at firmaet, banken eller etaten har dokumenter som sier at de har gode rutiner. Vi bør absolutt tenke oss grundig om før vi gjennomfører bruk av nasjonal elektronisk id i stort omfang, sier professor Svein Johan Knapskog.

Rikets sikkerhet først

Det er først når rikets sikkerhet trues, at sikkerheten virkelig må sjekkes og Nasjonal sikkerhetsmyndighet (NSM) kobles inn. Personopplysinger som du taster inn på nav.no og skatteetaten.no, er ikke viktige nok. Det er altså bedriftene selv som definerer hvilken risiko som foreligger, og sørger for at de har den sikkerheten som matcher. Når så sikkerhetsnivå er valgt, kommer Datatilsynet inn med sine kommentarer til sikkerhetsrutinene, og deler ut konsesjon. De går ikke inn i bedriften og sjekker de tekniske løsningene. Så har vi Post- og teletilsynet som regulerer og overvåker telekommunikasjon i Norge. De driver såkalt tilsyn på selvdeklarasjon. Det betyr at de ber om å få dokumentert hvordan nettstedet vil sørge for at informasjonen er sikker. Heller ikke dette tilsynet går inn og vurderer de tekniske løsningene, uten at de har god grunn for det. De kan gjøre en fullstendig it-revisjon hvis de vil, men det er ikke noe som skjer uten videre.

It-sikkerheten må revideres jevnlig

- Og det betyr jo, sier Knapskog, at de går gjennom det meste på papiret, men de har ikke noen godkjenningsordning for it-løsninger. Noe slikt finnes ikke i Norge. Det ville kanskje vært en idé å ha en revisjon av it-sikkerheten iblant. Tør vi virkelig ta det digitale spranget når sikkerhetslinen ikke er der?

Marked for sikkerhet

. De har gjort det de kan. Det er et stort marked for sikkerhet, enten det er konsulenter som skal hjelpe til med de gode sikkerhetsrutinene, eller programvare som skal sikre din identitet på nett. Skal du få sjekket et teknisk produkt, får du sikkerhetssjekken gjort av et it-evalueringslaboratorium.Norge har to selskaper som er godkjent av Sertit, Sertifiseringsmyndigheten for it-sikkerhet. Secode er et av dem. Arne Tjemsland, seniorkonsulent i Secode, forteller:- Når vi hjelper en virksomhet med sikkerheten, forholder vi oss til velprøvde produkter i markedet. Vi sjekker selvsagt om produkter inneholder spesifikasjoner på krypteringsmetode og nøkkelhåndtering som tilfredsstiller kundens krav. Men kundene ser svært sjelden behov for at vi etterprøver leverandørens påstander om krypteringsmetode og nøkkelhåndtering. Men det er klart at forskerne gjør en viktig jobb for å avdekke svakheter eller sikkerhetsfunksjonalitet som må forbedres eller lages i framtidige produkter. All historikk viser at dette er et viktig bidrag til bedret sikkerhet, sier Tjemsland.

Ingen offentlig nøkkeltabbe

- Vi har blitt fortrolige med både nettbank og e-butikker. Kanskje leverte også du selvangivelsen på nett? Da var du på skatteetaten.no. Hva er vel mer naturlig enn å sjekke om disse sidene er sikre? Det er Buypass AS som leverer de tekniske løsningene for Skatteetaten og en rekke av de andre offentlige tjenestene som tilbys via internett. Gemini presenterte Knapskogs funn for John Arild Johansen, sikkerhetssjef i Buypass.- Artikkelen til Knapskog er interessant lesestoff og påpeker et prinsipp (Key Separation Principle) som det er viktig å være oppmerksom på, men lett å overse. Etter en første gjennomlesing er vi forholdsvis trygge på at dette ikke representer et problem for Buypass, sier Johansen. Men han ber om å få komme tilbake til saken. Han vil gjerne sjekke om Buypass' produkter faktisk er sikre i forhold til Knapskogs funn. Etter et par dager får vi vite at jo da, Knapskogs funn er relevante fordi de handler om symmetrisk kryptografi som brukes hyppig i Buypass' produkter. - Et sikkerhetshull som oppstår på grunn av dårlig nøkkelhåndtering, er egentlig et resultat av dårlig design, sier Johansen. Men siden det skjer innenfor de anbefalingene som de aktuelle standardene omtaler, så er det forståelig at det kan oppstå. Det er likevel ikke aktuelt i våre produkter. Buypass har ikke gjort denne nøkkeltabben, og våre produkter er sikre også på dette området.

Opp til de kriminelle?

I arbeidet med elektronisk id (eID) har regjeringen i 2008 satt av 20 millioner kroner, og i løpet av året skal premissene legges for blant annet sikkerheten. Tor Alvik ved Direktoratet for forvaltning og IKT forteller at de er i oppstartfasen med sikkerhetskravene. - Direktoratet skal etablere den nye løsningen i samarbeid med flere andre offentlige etater. Kryptografiske metoder er en av sikkerhetsutfordringene vi vil ta for oss i dette arbeidet, sier han.Professor Svein Johan Knapskog er ikke overbevist: - Så langt har vi jo ikke fått alle de svarene vi trenger, sier han. Vi får vente og se om sikkerheten kommer på plass, eller om det er opp til kriminelle å undersøke hvilket nivå det er på sikkerheten for din e-identitet.(Gemini)