Kryptoparanoia

Det är mycket kryptering nu. Financial Times har en mycket intressant artikel om USCybercom som tar upp några globala strategier för att hantera de stora mängderna krypterad trafik som underrättelsetjänsterna vill åt. Som jag berättade i P3 Nyheter i fredags växer problemet med hjälp av bland annat fildelningslagar.

Kanske är det inte så dumt att krypteringsteknologierna når en större användarbas. Paranoia leder ibland till ökade kunskaper och en större vilja att ta sin internettrafik på allvar, att lära sig hur de vindlande nätverken fungerar. Men det är samtidigt en farlig väg att gå. Paranoia leder även till ett minskat tillit till främst de myndigheter och institutioner som egentligen borde vara till näts för att skydda oss (om myndigheter överhuvudtaget har i uppgift att skydda oss på nätet är en fråga man kan diskutera. Allt som oftast visar det sig att ”skydd” innebär övervakning).

I teknologiska termer är dock paranoian helt klart av accelererande karaktär. Begäret efter gratis underhållning från Hollywood i kombination med en tilltagande paranoia för IPRED-hyrsnuten eller HADOPI-myndigheten, skapar det perfekta upplägget för en accelerande kryptering, som blir allt starkare, allt mera försiktig. Det är dags att vi tar ansvar för våra chiffer, för om inte vi gör det så gör ett företag det. Och då går det snett.

Låt mig kasta mera ved på paranoians brasa! När man krypterar sin trafik finns det ett antal principer som man förr eller senare måste förhålla sig till. För det första måste man se till att behålla krypteringsnycklarnas integritet. Därför vill man helst ha dem så nära sig själv som möjligt, gärna på en egen hårddisk. Sen vill man helst kontrollera hela trafikflödet från end-to-end, alltså inte låta en tredje part i mitten ansvara för inloggningsuppgifter etc. För det tredje vill man, om paranoian är tillräckligt hög, gärna kunna läsa all källkod till programvaran man använder, eller åtminstone vara säker på att någon annan man litar på har gjort det. Annars finns alltid en risk för olika ”bakdörrar”.

Dessa kriterier utgör en slags händelsehorisont, och när man tar de på fullt allvar inser man snart att man måste ta krypteringen i egna händer. De flesta små trevliga program som finns i din dator förvandlas till säkerhetsrisker. Låt oss ta några exempel, som även nämns i Financial Timesartikeln ovan.

Skype är mycket osäkert och osympatiskt. Stängd källkod, snabba miljardköp av amerikanska företag, och misstänkt användarvänligt. Ingen riktig peer-review har skett, och det verkar som att högstbjudande kan köpa ett STASI-öra rakt in i våra samtal. Så är det i Kina. Tyskland däremot verkade inte ha tillräckligt med cash.

Blackberry-telefoner kommer härnäst. Återigen ett fall av stängd mjukvara och där ens data (mail, kalendrar etc.) sparas på Kanadensiska servrar. Överföringen sker krypterat, men inte med ditt egenhändigt tillverkade krypto, utan med ett corporate. Från FT:

Otherwise, Abu Dhabi warned, all BlackBerry communication in the ­country would be stopped. RIM had refused to budge (despite the fact that it had already agreed to allow China, India and Saudi Arabia access to unencrypted messages). The UAE government announced yesterday (Oct 8 ) that the threat to suspend BlackBerry services had been lifted as the provider now complied with the Gulf state’s regulatory framework.

Känner ni paranoian? Det blir inga skämt om sex i Blackberry-luren. Sånt är förbjudet i UAE. Man får akta sig att tala väl om Nobelpriset i Kina. Det är förbjudet att alliera sig med sådana där ”terrorister” som pratar mänskliga rättigheter. Men det blir värre:

BlackBerry is just the opening shot. India said last month it intends to ask Google and Skype to set up servers inside its borders so that it can monitor traffic over Gmail and Skype’s internet telephone system. Other countries seem set to follow

Meh, Google skulle ju vara snälla och inte stå på diktaturernas sida. Whatever man, den paranoide skulle aldrig köpa sådant snack. En gång inloggad till Google, alltid inloggad. Små kakor i din webläsare ser till att du ständigt är övervakad. Även när du surfar utanför Googles egna sidor finns Google-analyticskod nästan överallt, som sakta men säkert kartlägger dina minsta surfvanor och rapporterar tillbaka till Google. Eller Kina. Eller Indien.

Det är enkelt att kolla. Installera bara Firefox-pluginet Google Alarm.

För er som oroar er har denna blogg ingen kod från Google… det säger i alla fall Google Alarm… eller… kanske måste kolla igenom källkoden för säkerhets skull…

flattr this!

7 reaktion på “Kryptoparanoia”

  1. Apropå Google Alarm, så står det så här i en nytillkommen kommentar på deras blogg:

    There are a good many requests here already for instructions on how to uninstall this plug-in…I’m adding mine to the bunch. Please respond and give those of us who have changed our minds about Google alarm a way to get rid of it.

    Ditt förslag gjorde att jag övervägde att installera det, men varje antydan om sådana problem som beskrivs ovan får mig att tveka. Jag är redan övertygad om att Google förföljer mig; jag behöver inte någon som slår mig i huvudet med en hammare varje gång det sker för att övertyga mig.

  2. Anders: Google Alarm slår kanske in öppna dörrar för den som redan vet hur analytics-kod ser ut och vet hur mycket av nätet som är Googleanslutet. Så det är mest en kul grej för den som redan vet. För de som inte vet, är det kanske en ögonöppnare.

  3. Jag har inget emot att bli påmind för skojs skull. Problemet är att Google Alarm påstås vara svår att stänga av, när man väl har installerat det (se kommentarerna på sidan). Du är på väg att ge ett gott råd när du påminner om behovet av att granska också Google Alarm, men du tycks inte löpa linan ut. Skulle varje meddelande om att Google Alarm inte kan avinstalleras vara falskt?

  4. Ok, jag tog risken, men när jag tillfälligt tyglade min paranoia, så kastade i stället min bakåtsträvighet ut en betonggris i min väg. Google Alarm fungerar nämligen inte i äldre versioner än Firefox 3.

    Jag kan tänka mig att amish-samfundets medlemmar inte bekymrar sig så mycket över huruvida någon loggar deras förbrukning av skrivbläck och lampfotogen för att lista ut vad de kommunicerar om. Kanske är det hos dem vi med Firefox 2 hör hemma?

  5. Anders: Just när det gäller Google alarm kan man lita på utvecklarna. Personerna bakom F.A.T. är mycket trevliga :D

    Meddelandet är säkert inte falskt. Firefox är något av en härva när det kommer till buggar och säkerhetsbrister.

  6. För att bli av med Google Analytics helt och hållet så installerar man lämpligen Noscript. Då blir du tvungen att explicit tillåta varje enskild domän som vill köra script i din browser.
    Problemet som återstår är om siten du besöker skickar vidare sin statistik till Google direkt istället. Det problemet är betydligt besvärligare att hantera och den enda vägen jag ser är att man ser till att inte ge bort information som inte den andra sidan behöver ha.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *


+ 4 = sex

Följande HTML-taggar och attribut är tillåtna: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>