Vi lever i en digital verden, en verden uten grenser. Sammenlignet med den fysiske verden, hvor folk oppfører seg i henhold til lover og sedvaner i landet de bor i, har internettverdenen ingen restriksjoner. Fra tusenvis av kilometer unna kan kriminelle angripe dine bankkontoer, dine enheter – ja, til og med din identitet.

For å beskytte enkeltpersoner og organisasjoner mot online trusler, benytter vi ulike kryptografiske teknikker som kryptering, autentisering og digitale signaturer. Alle disse teknikkene er avhengige av et sikkerhetsoppsett før de kan taes i bruk. Sikkerhetsoppsettet generer en digital «nøkkel» som så kan brukes til å beskytte dine data. Imidlertid er dette litt som i spillet Jenga hvor kloss etter kloss fjernes fra et større tårn: hvis sikkerhetsoppsettet ikke er perfekt, kan den genererte nøkkelen bli svak, og alt faller om.

Dessverre har noen selskaper begynt å sende data før sikkerhetsoppsettet har fullført. Istedenfor blir dataene beskyttet av en svak “forhåndsnøkkel”. Denne praksisen ble startet av Google, og Facebook har begynt å gjøre det samme. Det gjør den gjennomsnittlige bruker sårbar for angrep på nettet.

Så hvorfor er noen bedrifter villige til å gjøre brukere mer sårbare på nettet?
Effektivitet. Nøkkelgenereringen som skjer i løpet av sikkerhetsoppsettet tar tid og kan føre til små forsinkelser. Dette kan for eksempel medføre at det tar lengre tid for en nettside å laste. Ingen liker slike forsinkelser, spesielt ikke nettsider som Google eller Facebook som har tusenvis av besøkende per sekund, så de har begynt å ofre sikkerhet for tid.

Svakheten ved forhåndsnøkkelen kommer av at den er statisk (kan ikke endres). Se for deg et Netflix-passord som ikke kan endres og som du deler med masse venner, mange kolleger, og alle klassekameratene dine.
Ende verre om du poster du dette Netflix-passordet på en offentlig Facebook-side. Dette er jo uklokt. Mange mennesker vil trolig begynne å bruke Netflix-kontoen din som du betaler for. Siden passordet ditt ikke kan endres, er det ingen løsning på problemet. Forhåndsnøkkelene som Google og Facebook benytter er svake på en tilsvarende måte: de fortsetter å bli brukt igjen og igjen, og er basert på informasjon delt mellom mange brukere.

Hos NTNU har vi samarbeidet med en liten gruppe av internasjonale forskere og skapt en løsning på dette problemet som mange kryptografer ikke trodde var mulig. Vi har re-designet sikkerhetsoppsettet matematisk, men også selve den digitale nøkkelen, slik at den kun er «halvt-statisk» og automatisk oppdateres ved bruk. På denne måten er vi i stand til å bygge sikre «Jenga» sikkerhetstårn som ikke faller om, og som også møter de effektivitetskrav som industrien stiller til forsinkelser i det moderne internettet.

Dette blogginnlegget er skrevet av Britta Hale, PhD ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi. Britta var deltaker i Forsker Grand Prix 2017 med dette temaet.

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInEmail this to someone

Commentsd

commentsd