Kryptoparanoia

Det är mycket kryptering nu. Financial Times har en mycket intressant artikel om USCybercom som tar upp några globala strategier för att hantera de stora mängderna krypterad trafik som underrättelsetjänsterna vill åt. Som jag berättade i P3 Nyheter i fredags växer problemet med hjälp av bland annat fildelningslagar.

Kanske är det inte så dumt att krypteringsteknologierna når en större användarbas. Paranoia leder ibland till ökade kunskaper och en större vilja att ta sin internettrafik på allvar, att lära sig hur de vindlande nätverken fungerar. Men det är samtidigt en farlig väg att gå. Paranoia leder även till ett minskat tillit till främst de myndigheter och institutioner som egentligen borde vara till näts för att skydda oss (om myndigheter överhuvudtaget har i uppgift att skydda oss på nätet är en fråga man kan diskutera. Allt som oftast visar det sig att "skydd" innebär övervakning).

I teknologiska termer är dock paranoian helt klart av accelererande karaktär. Begäret efter gratis underhållning från Hollywood i kombination med en tilltagande paranoia för IPRED-hyrsnuten eller HADOPI-myndigheten, skapar det perfekta upplägget för en accelerande kryptering, som blir allt starkare, allt mera försiktig. Det är dags att vi tar ansvar för våra chiffer, för om inte vi gör det så gör ett företag det. Och då går det snett.

Låt mig kasta mera ved på paranoians brasa! När man krypterar sin trafik finns det ett antal principer som man förr eller senare måste förhålla sig till. För det första måste man se till att behålla krypteringsnycklarnas integritet. Därför vill man helst ha dem så nära sig själv som möjligt, gärna på en egen hårddisk. Sen vill man helst kontrollera hela trafikflödet från end-to-end, alltså inte låta en tredje part i mitten ansvara för inloggningsuppgifter etc. För det tredje vill man, om paranoian är tillräckligt hög, gärna kunna läsa all källkod till programvaran man använder, eller åtminstone vara säker på att någon annan man litar på har gjort det. Annars finns alltid en risk för olika "bakdörrar".

Dessa kriterier utgör en slags händelsehorisont, och när man tar de på fullt allvar inser man snart att man måste ta krypteringen i egna händer. De flesta små trevliga program som finns i din dator förvandlas till säkerhetsrisker. Låt oss ta några exempel, som även nämns i Financial Timesartikeln ovan.

Skype är mycket osäkert och osympatiskt. Stängd källkod, snabba miljardköp av amerikanska företag, och misstänkt användarvänligt. Ingen riktig peer-review har skett, och det verkar som att högstbjudande kan köpa ett STASI-öra rakt in i våra samtal. Så är det i Kina. Tyskland däremot verkade inte ha tillräckligt med cash.

Blackberry-telefoner kommer härnäst. Återigen ett fall av stängd mjukvara och där ens data (mail, kalendrar etc.) sparas på Kanadensiska servrar. Överföringen sker krypterat, men inte med ditt egenhändigt tillverkade krypto, utan med ett corporate. Från FT:

Otherwise, Abu Dhabi warned, all BlackBerry communication in the ­country would be stopped. RIM had refused to budge (despite the fact that it had already agreed to allow China, India and Saudi Arabia access to unencrypted messages). The UAE government announced yesterday (Oct 8 ) that the threat to suspend BlackBerry services had been lifted as the provider now complied with the Gulf state’s regulatory framework.

Känner ni paranoian? Det blir inga skämt om sex i Blackberry-luren. Sånt är förbjudet i UAE. Man får akta sig att tala väl om Nobelpriset i Kina. Det är förbjudet att alliera sig med sådana där "terrorister" som pratar mänskliga rättigheter. Men det blir värre:

BlackBerry is just the opening shot. India said last month it intends to ask Google and Skype to set up servers inside its borders so that it can monitor traffic over Gmail and Skype’s internet telephone system. Other countries seem set to follow

Meh, Google skulle ju vara snälla och inte stå på diktaturernas sida. Whatever man, den paranoide skulle aldrig köpa sådant snack. En gång inloggad till Google, alltid inloggad. Små kakor i din webläsare ser till att du ständigt är övervakad. Även när du surfar utanför Googles egna sidor finns Google-analyticskod nästan överallt, som sakta men säkert kartlägger dina minsta surfvanor och rapporterar tillbaka till Google. Eller Kina. Eller Indien.

Det är enkelt att kolla. Installera bara Firefox-pluginet Google Alarm.

För er som oroar er har denna blogg ingen kod från Google... det säger i alla fall Google Alarm... eller... kanske måste kolla igenom källkoden för säkerhets skull...