NOEN VIL STJELE DEG

Du taster koden og passordet. Trykker OK. Men nei, du kommer ingen vei. Så sjekker du om du har tastet rett, flere ganger. Blir irritert fordi nettbanken tuller. Ringer 800- nummeret som skal være bemannet med noen som kan gi forklaringen. – Nei, den kontoen eksisterer ikke, er svaret.

Dette er den første i en serie merkelige hendelser som leder fram til en gradvis forståelse av at du har blitt et offer for identitetstyveri.

Du er ikke alene. I USA utsettes om lag 10 millioner mennesker hvert år for ID-tyveri, ifølge amerikanske forbrukerorganisasjoner. Offisielle tall for Norge finnes ikke, men ID-tyveri regnes nå for å være den mest lønnsomme av alle typer kriminalitet, mer enn narkotikahandel.

Kanskje du var uforsiktig med kort eller kode; kanskje noen har vært inne på din datamaskin; hvem vet. Med et virvar av passord og koder måtte det bare gå galt før eller siden.

Flaks at det snart kommer en løsning. En egen elektronisk ID som skal kunne brukes til alle formål. Det må da løse alle problemer, og gjøre alt mye sikrere?

HULL I NETTET

– I løpet av neste år skal de nordmenn som ønsker det, kunne få ny identitet – en elektronisk sådan. Med e-identitet skal du slippe lange køer og tapte arbeidsdager for å samtale med det offentlige. Alt skal skje via nettet, og det skal være sikkert – alt fra resepten du får hos legen, til kontakten med Nav, ligningskontoret og nettbanken.

Men hva gjør du når alle datasikkerhetens regler faktisk er fulgt, og du oppdager at de slett ikke er gode nok?

Forskere ved NTNUs Centre for Quantifiable Quality of Service in Communication Systems, Q2S, har nemlig avdekket store sikkerhetshull i det som skal være et finmasket nett. Og det største hullet befinner seg på det dypeste av sikkerhetsnivåene.

Noen av gullstandardene for grunnleggende kryptering må rett og slett skrives om.

SIKKERT SOM ET KORTHUS

– Svein Knapskog er professor i telematikk ved Q2S, og forteller om et digitalt korthus:

– Du er selv den største sikkerhetsrisikoen. Men selv om du er pinlig nøye, har virusprogrammer og phishingfilter, og aldri tillater noe tull med PC-en din, så er det ikke nok. Internett er et digitalt korthus med tanke på sikkerhet. Det er mange hull i de tekniske løsningene som brukes i dag, og rike muligheter for snyltere og kjeltringer til å utnytte disse. Vi bør absolutt tenke oss grundig om før vi gjennomfører storskala bruk av nasjonal elektronisk ID. Vi har et arbeid å gjøre på sikkerhetsfronten først. Vi må faktisk skrive om noen av de grunnleggende internasjonale standardene for hvordan man lager sikker kryptering av data som sendes over internett. Når det er gjort, da kan vi senke skuldrene litt.

NØKKELEN TIL SIKKERHET

– Det er nøkler det handler om: de nøklene som lukker og åpner informasjonspakkene vi sender via nettet. Nøklene som sørger for at de som snoker inne blant de uforståelige rekkene av ett-tall og nuller, ikke skal kunne lese dem slik du og jeg som sitter med nøklene, kan.

Men NTNU

-forskerne har oppdaget en særegenhet ved disse nøklene: Bruker man den samme nøkkelen to ganger, er sikkerheten borte. Hvordan forklarer man slikt?

– La oss tenke oss tilbake til gamle dager, sier Knapskog, – og se for oss at vi skal levere et brev med hemmelig innhold. Kanskje er det en spion som har funnet ut noe som kan forandre krigens gang. Kanskje er det hemmelig kjærlighet mellom to som ikke får lov til å møtes. Uansett må ingen andre få fatt i innholdet i brevet, og det er avtalt en hemmelig kode for hvordan brevet skal leses. Uvitende vil ikke forstå noe, mens de som kjenner koden, kan lese brevet med letthet. I vår tid er det et eget program som bruker digitale nøkler når våre digitale sendinger skal sikres og kodes. Det kalles krypteringsbibliotek. Det vi har funnet ut, er at når vi bruker slike krypteringsbibliotek der personene i hver ende av sendingen har samme kodenøkkel og bruker den til mer enn ett formål, så kan utenforstående lese av info rmasjonen uten å ha tilgang til nøklene. Det er som om vi ikke skulle brukt krypteringsnøkler i det hele tatt.

– Så vi trenger å få inn i standarden for hvordan slike krypteringsbibliotek lages, at samme kodenøkkel aldri skal brukes mer enn én enkelt gang. Det står ikke i standarden i dag. Formuleringen er slik at man kan tro at det er helt greit å bruke samme nøkler hele tiden.

Stikkordet er altså nøkkelhåndtering. Knapskog har i lengre tid forsøkt å få innsikt i hvordan denne nøkkelhåndteringen foregår i de enkelte sikkerhetsløsningene som er aktuelle for elektronisk ID i Norge. Nå begynner det å løsne.

SIKKERHET PÅ PAPIRET

– Så tror du kanskje at vi har offentlige tilsyn som sjekker og godkjenner hvordan sikkerheten håndteres i de selskapene som skal ta hånd om din private informasjon? Som forbruker forventer du at det finnes et regelverk som skal sikre deg, i hvert fall når du skal dele personlig info rmasjon. Passord og små kalkulatorlignende dingser skal sikre deg mot ran i nettbanken og digitalt identitetstyveri.

Joda. Det finnes regler. Personvernlov og datatilsyn. Men det finnes ikke noen regel som sier at datasikkerheten skal sjekkes. Det holder at firmaet, banken eller etaten har dokumenter som sier at de har gode rutiner. «Vi bør absolutt tenke oss grundig om før vi gjennomfører storskala bruk av nasjonal elektronisk ID.» Professor Svein Johan Knapskog

Det er først når rikets sikkerhet trues, at sikkerheten virkelig må sjekkes og Nasjonal sikkerhetsmyndighet (NSM) kobles inn. Personopplysinger som du taster inn på nav.no og skatteetaten.no, er ikke viktige nok.

– TØR VI DETTE?

– Det er altså bedriftene selv som definerer hvilken risiko som foreligger, og sørger for at de har den sikkerheten som matcher. Når så sikkerhetsnivå er valgt, kommer Datatilsynet inn med sine kommentarer til sikkerhetsrutinene, og deler ut konsesjon. De går ikke inn i bedriften og faktisk sjekker de tekniske løsningene.

Så har vi Post- og teletilsynet som regulerer og overvåker telekommunikasjon i Norge. De driver såkalt tilsyn på selvdeklarasjon. Det betyr at de ber om å få dokumentert hvordan nettstedet vil sørge for at informasjonen er sikker. Heller ikke dette tilsynet går inn og vurderer de tekniske løsningene, uten at de har god grunn for det. De kan gjøre en fullstendig IT-revisjon hvis de vil, men det er ikke noe som skjer uten videre.

– Og det betyr jo, sier Knapskog, – at de går igjennom det meste på papiret, men de har ikke noen godkjenningsordning for IT-løsninger. Noe slikt finnes ikke i Norge. Det ville kanskje vært en idé å ha en revisjon av IT-sikkerheten iblant. Tør vi virkelig å ta det digitale spranget når sikkerhetslinen ikke er der?

MARKED FOR SIKKERHET

– Både nettbanken og de andre nettstedene du bruker, forteller at de er sikre. De har gjort det de kan. Det er et stort marked for sikkerhet, enten det er konsulenter som skal hjelpe til med de gode sikkerhetsrutinene, eller programvare som skal sikre din identitet på nett. Skal du få sjekket et teknisk produkt, får du sikkerhetssjekken gjort av et IT-evalueringslaboratorium.

Norge har to selskaper som er godkjent av Sertit, Sertifiseringsmyndigheten for IT-sikkerhet. Secode er et av dem. Arne Tjemsland, seniorkonsulent i Secode, forteller:

– Når vi hjelper en virksomhet med sikkerheten, forholder vi oss til velprøvde produkter i markedet. Vi sjekker selvsagt om produkter inneholder spesifikasjoner på krypteringsmetode og nøkkelhåndtering som tilfredsstiller kundens krav. Men kundene ser svært sjelden behov for at vi etterprøver leverandørens påstander om krypteringsmetode og nøkkelhåndtering.

– Men det er klart at forskerne gjør en viktig jobb for å avdekke svakheter eller sikkerhetsfunksjonalitet som må forbedres eller lages i framtidige produkter. All historikk viser at dette er et viktig bidrag til bedret sikkerhet, avslutter Tjemsland.

INGEN OFFENTLIG NØKKELTABBE

– Vi har blitt fortrolige med både nettbank og e-butikker. Kanskje leverte også du selvangivelsen på nett? Da var du på skatteetaten.no. Hva er vel mer naturlig enn å sjekke om disse sidene er sikre? Det er Buypass AS som leverer de tekniske løsningene for Skatteetaten og en rekke av de andre offentlige tjenestene som tilbys via internett. Vi presenterer Knapskogs funn for John Arild Johansen, sikkerhetssjef i Buypass.

– Artikkelen til Knapskog er interessant lesestoff og påpeker et prinsipp (Key Separation Principle) som det er viktig å være oppmerksom på, men lett å overse. Etter en første gjennomlesing er vi forholdsvis trygge på at dette ikke representer et problem for Buypass, sier Johansen.

Men han ber om å få komme tilbake til saken. Han vil gjerne sjekke om Buypass’ produkter faktisk er sikre i forhold til Knapskogs funn. Etter et par dager får vi vite at joda, Knapskogs funn er relevante fordi de handler om symmetrisk kryptografi som brukes hyppig i Buypass’ produkter.

– Et sikkerhetshull som oppstår på grunn av dårlig nøkkelhåndtering, er egentlig et resultat av dårlig design, sier Johansen. – Men siden det skjer innenfor de anbefalingene som de aktuelle standardene omtaler, så er det forståelig at det kan oppstå. Det er likevel ikke aktuelt i våre produkter. Buypass har ikke gjort denne nøkkeltabben, og våre produkter er sikre også på dette området.

OPP TIL DE KRIMINELLE?

– I arbeidet med elektronisk ID (eID) har regjeringen i 2008 satt av 20 millioner kroner, og i løpet av året skal premissene legges for blant annet sikkerheten.

Tor Alvik ved Direktoratet for forvaltning og IKT forteller at de er i oppstartfasen med sikkerhetskravene. – Direktoratet skal etablere den nye løsningen i samarbeid med flere andre offentlige etater. Kryptografiske metoder er en av sikkerhetsutfordringene vi vil ta for oss i dette arbeidet, sier han.

Professor Svein Johan Knapskog er ikke overbevist:

– Jeg hører hva de sier, men så langt har vi jo ikke fått alle de svarene vi trenger. Vi får vente og se om sikkerheten kommer på plass, eller om det er opp til kriminelle å undersøke hvilket nivå det er på sikkerheten for din e-identitet

Hege J. Tunstad