Prism / NSA - Facebook, Google, Microsoft, Apple, Yahoo - Snowden

Internet, mobiltelefoner, betalsystem och navigationssystem har blivit en fara. Så värst fritt är internet inte längre alls. Tidigare brydde jag mig inte om att använda tor eller kryptering. eller att undvika vissa siter och skydda identitet då de t går. Först nu börjar jag göra det lite.

I framtiden hoppas jag på ett större "darknet" där alla som vill röra sig anonymt online kan vara uppkopplade utan att känna minsta oro. Ett nät helt oberoende av det vi har idag.

Du måste skilja på algoritmen RSA och företaget RSA. Samma tre forskare ligger bakom båda två, men krypteringsmetoden RSA anses allmänt vara säker och har blivit ordentligt genomlyst. Det finns attackvektorer mot RSA-algoritmen, men inget av den magnituden som avslöjats av Snowden.

RSA är en av flera krypteringsalgoritmer som används av TLS (tidigare SSL), som används för att kryptera det mesta som vi krypterar över Internet. TLS är det absolut viktigaste krypteringsprotokollet på nätet, och har en hel del svagheter. Men svagheterna är framför allt kring problemet att man måste kunna lita på att man kommunicerar mot rätt motpart, t.ex. att du verkligen är ansluten mot Flashbacks server just nu. Certifikaten som ska sköta den identifieringen har alltid kunnat utfärdas av nästan vilket bolag som helst, och alla vanliga webbläsare har litat på dem. Dessutom har Snowden avslöjat det som många fruktade: att NSA (och andra) kan skapa fejkade certifikat på löpande band.

Bolaget RSA har ett gäng säkerhetsprodukter, framför allt när det gäller autentisering av användare. Dem skulle jag inte lita på för fem öre längre. I flera år var det känt att en av dem, Bsafe, använde en osäker slumptalsgenerator som default. Det är den slumptalsgeneratorn, eller snarare algoritmen den baseras på, som har försvagats av NSA. Svagheterna har varit kända i ca 6 år, men nu vet vi att det inte var ett oavsiktligt misstag.
Att bolaget RSA dessutom har fått betalt för att försvaga sin egen produkt är helt enastående, och diskvalificerar dem från alla seriösa säkerhetssammanhang framöver.

Det är inte bara Bsafe som har svagheter. Bolaget RSA:s flaggskeppsproudkt SecurID blev rejält hackad för drygt två år sedan. Någon hade tagit sig in i RSA:s system och tankat hem källkod och krypteringsnycklar för SecurID, vilket gjorde alla 40 miljoner levererade nyckeldosor osäkra. Det hacket upptäcktes när man började nysta i hur någon hade kunnat hacka Lockheeds division för militära flygplan - de hade nämligen använt SecurID för autentiseringen... Iran, Kina eller Ryssland anses ligga bakom de här attackerna.

Så hur mycket har bolaget RSA med NSA att göra? Inte så mycket tror jag. RSA-algoritmen publicerades 1977 och bolaget grundades 1982. Då var det inte känt att en motsvarande algoritm hade uppfunnits redan 1973 av ett ungt mattesnille på GCHQ (NSA:s motsvarighet i England), där den genast blev hemligstämplad. Hade upphovsmännen/grundarna bakom RSA gått i NSA:s ledband hade de knappast publicerat det här gigantiska genombrottet på krypteringsområdet.

Dessutom, hade NSA låtit Lockheed med flera använda SecurID ifall de kände till svagheter i produkten? De hade åtminstone inte behövt hacka Lockheeds system.

Men bolaget RSA är ganska körda. Jag tror (och hoppas) att de är uppstyckade och obsoleta om 3-5 år.

Man slutar ju aldrig att förvånas över visa personers låga IQ .... vad skulle hända om vi tvingades sluta använda internet? Världens största lågkonjunktur