I debatten om kryptering, stark kryptering som skyddar individen kommer i stort sett samma argument alltid tillbaka från den sida som vill se till att myndigheter, i första hand polisen, ska kunna ta sig in i våra prylar. Det handlar antingen om bakdörrar eller krav om att krypteringsnycklarna ska förvaras hos myndigheter. Intrånget hos Solarwinds är ett skrämmande bevis på att den strategin är dömd att misslyckas.

När Apple angreps och kritiserades av amerikanska politiker så svarade Tim Cook ”Det enda säkra sättet att se till att bakdörrar inte kommer i fel händer är att aldrig skapa några bakdörrar.” Av det följer, logiskt, att det enda säkra sättet att se till att krypteringsnycklar inte faller i orätta händer är att se till att krypteringsnycklar inte förvaras hos några myndigheter.

Huvudnyckeln

Solarwinds berättade för sina aktieägare att de nu hade ett fast, starkt grepp om marknaden med sina produkter. De hade lyckats skaka av sig konkurrenterna och deras lösningar fanns nu installerade hos en stor majoritet av Topp 500-bolagen, hos en rad amerikanska myndigheter och Solarwinds lösningar fanns installerade hos ett stort antal företag och myndigheter internationellt. Det är den typ av budskap som aktieägare och investerare älskar att höra.

Det hackare hörde var ”här finns en huvudnyckel”.

Solarwinds blev en måltavla för strategien är lika enkel som genial – hacka Solwarwinds så har du hackat alla deras kunder – du har kommit över huvudnyckeln.

Bakdörr

Hackarna la in egen kod i en av filerna som ingår i Solarwinds Orion och sedan väntade de på att uppdateringen skulle börja att distribueras och på att kunderna skulle börja att installera mjukvaran. Kunderna gjorde jobbet åt dem, installerade deras bakdörr rakt in i datorsystem som tillhör amerikanska myndigheter, stora företag och som innehöll mängder av könslig och topphemlig information. Nu ska tilläggas att hela den här processen är förenklat beskriven men på det stora hela så var det så intrången gick till – via en huvudnyckel, en bakdörr.

Det finns en rad andra exempel på att tanken på centralt förvarade kryperingsnycklar inte fungerar. Du kan inte installera en bakdörr i en mjukvara och tro att inte obehöriga kommer att hitta den och i den stund hackare upptäcker att en lång rad användare använder samma mjukvara så kommer mjukvaran och dess utvecklare att bli en given måltavla.

end-to-end

När vi nu är inne på det här med huvudnycklar och kryptering så kan det vara på sin plats att förklara begreppet ”end-to-end” vilket är en krypteringsmetod och ett sätt att skydda information genom att kryptera informationen lokalt, skicka informationen i krypterad form och sedan dekretera (göra den läsbar igen) lokalt. Nycklarna finns lokalt och informationen skickas i oläslig form. Det är den typ av kryptering du har i din iPhone, din iPad och i din Mac. Ska du stjäla nycklarna så måste du stjäla enheten. Det finns inga nycklar förvarade vare sig hos Apple eller någon myndighet. Du har nycklarna.

Det enda säkra sättet att se till att krypteringsnycklar, bakdörrar och huvudnycklar inte faller i orätta händer är att se till att aldrig tillverka några – med tillägget att se till att du har nycklarna, ingen annan.