Kryptering – fra antikkens slagmarker til https

Google+ Pinterest LinkedIn Tumblr +

Mennesket.net har nylig byttet adresser fra http:// til https://. Hvorfor det sier du? Og hva har dette med Julius Cæsar, Navajo indianere og Amerikas inntreden i første verdenskrig å gjøre? Vel, la meg ta det fra begynnelsen…

S-en står for Secure Socket Layer (SSL), med trykk på Secure, sikkert. Den betyr et ekstra lag med sikkerhet, privatliv og personvern for alle som er på nett; nemlig kryptering. Ordet høres kanskje moderne og teknisk ut, men det å kryptere informasjon er noe mennesker har gjort i tusener av år. Kryptering av beskjeder har avgjort kriger og forhandlinger og er i dag avgjørende i både vår hverdag og for vår fremtid som kunnskapssamfunn. Kryptografi, eller kryptologi, kommer fra de greske ordene for skjult eller hemmelig (kryptos) og skriving (grafein) eller studier (logia). Kryptering vil kort og greit si å omforme informasjon slik at den blir uforståelig for alle andre enn den som sender den og den som mottar den. Siden mennesker begynte å organisere seg i samfunn har det vært behov for å kunne sende viktige beskjeder med sine venner, diplomater og allierte uten at nysgjerrige øyne får vite hva det er som kommuniseres frem og tilbake. Den enkleste måten å kryptere informasjon på er muntlig, gjennom språk eller dialekter som er vanskelig å forstå for andre. Under andre verdenskrig brukte blant annet de amerikanske marinestyrkene Navajo-talende soldater fra den nord-amerikanske urbefolkningen under kampene i Stillehavet for å kunne kommunisere med egne styrker raskt over åpne radio- og telefonlinjer på en måte som japanerne slet med å forstå. Med skriftspråket så åpnet det seg andre muligheter som fra noe så enkelt som å rulle smalt pergament nedover en stokk slik at beskjeden først ble synlig da man leste nedover fra toppen av stokken, til de langt mer avanserte metodene som de fleste av oss bruker daglig uten å engang være klar over det.

Chiffer og nøkkel

For å kryptere en beskjed trenger vi to ting: et chiffer, som er regelen for hvordan beskjeden kodes, og en nøkkel som forteller hvordan vi ordner regelen. Det best kjente chifferet fra eldre historie er Julius Cæsars berømte «substitusjonschiffer», også kjent som Cæsars kode fordi han brukte den konsekvent i alle brev av militær betydning for å hindre spioner og politiske motstandere fra å forstå det han skrev. Hans chiffer bestod i å bytte ut, å substituere, hver bokstav i teksten med en annen bokstav et forhåndsbestemt antall plasser til høyre i alfabetet. Antallet bokstaver man flyttet til høyre var da nøkkelen. For eksempel, hvis nøkkelen var 4, så ble bokstaven B til F . Slik blir «mennesket» kryptert til «qirriwoix». En spion for fienden som ikke kjente chifferet eller nøkkelen ville bare se et meningsløst sammensurium av bokstaver. Dermed kunne felttog- og krigsplaner deles i god tid med generaler som kunne koordinere sine angrep ned til minste detalj.

Kodeknekking

Frekvenstabellen til det engelske alfabetet. CC BY-SA 3.0, Lenke

Cæsarkoden har et par viktige svakheter: statistikk og et lite antall mulige nøkler (29, en for hver bokstav i det norske alfabetet). Vi bruker noen bokstaver mer enn andre, så ved å telle antallet bokstaver i nok tekst så vil vi se et mønster i hvilke som brukes hyppigst og hvilke vi bruker sjeldnest. Vi kaller dette for deres frekvens og metoden for frekvensanalyse. I det engelske språket brukes bokstaven «e» oftest og ved å finne den bokstaven som brukes hyppigst i den krypterte teksten er det en god sjanse for at man kan «knekke» koden og finne nøkkelen raskt. Mer nøyaktig blir det hvis man setter frekvensene til alle bokstavene opp som stolpediagram ordnet alfabetisk som på bildet og holder kodetekstens tabell over standardtabellen til språket og flytter den sidelengs til de, mønstrene, noenlunde matcher. Antallet bokstaver den må flyttes til siden er nøkkelen. Den andre måten er det som i dataverdenen kalles “Brute force”, det vil si å prøve alle mulige nøkler til man får et forståelig resultat. Siden det bare er 29 bokstaver i det norske alfabetet så er det også bare 29 mulige nøkler å prøve, noe som er fullt gjennomførbart for vanlige mennesker. Etter hvert som disse metodene ble mer kjent ble det nødvendig å gjøre det vanskeligere å finne mønstrene som kunne knekke krypterte meldinger. På 1500-tallet hadde kryptologien utviklet seg til å bruke såkalte polyalfabetiske chiffer hvor man tok utgangspunkt i et nøkkelord. For å avkode, eller dechiffrere, en melding måtte man vite dette ordet og så måtte man skrive ned hver bokstav sitt nummer i alfabetet (a=1, b=2,…, å=29). Så måtte man ta denne rekkefølgen av tall og gjenta den under hver bokstav i meldingen. Til slutt så gjorde man som i cæsarkoden, men i stedet for å bruke den samme nøkkelen på alle bokstavene i meldingen, brukte man nummeret under hver bokstav som nøkkel når man flyttet bokstavene. Bokstavenes fordeling blir nå langt mer tidkrevende for en kodeknekker å finne, men ikke umulig siden det fortsatt vil danne seg mønstre i teksten som gjentar seg hver gang tallene fra nøkkelordet begynner på nytt. Men, desto lengre kodeordet var, desto hardere ble det for et menneske å knekke krypteringen. Det ble utviklet utallige varianter av denne typen kryptering. Noen brukte alfabeter fra andre skriftspråk, mens andre igjen var enklere og brukte tabeller som var lettere å forstå og tolke for de som skulle bruke dem.

Zimmermann-telegrammet

Telegrammet slik det så ut kryptert

Med oppfinnelser som telegrafen på 1800-tallet ble god kryptering viktigere enn noensinne, spesielt etter at menn som Nicola Tesla og Guglielmo Marconi viste at det var mulig å sende meldingene trådløst og over enorme avstander. Behovet for kurerer som personlig overleverte viktige dokumenter og ordre til politikere og militære styrker forsvant nærmest over natten. Problemet var bare at når beskjeder ble sendt over kabler som lå i faste traseer eller trådløst i luften, så kunne også hvem som helst koble seg på kablene eller lytte med sitt eget apparat til beskjedene som kom over eteren. I det i ettertiden berømte Room 40 i det britiske admiralitetets bygning i Whitehall skulle dette i januar 1917 påvirke utfallet av hele første verdenskrig. Frem til krigen begynte hadde de fleste stormaktene lagt sine egne undersjøiske kabler mellom Europa og Amerika for å sikre kommunikasjon med egne diplomater og kontakter. Da krigen startet fant britene raskt de tyske kablene og kuttet dem. Dermed ble tyskerne avhengig av godvilje fra andre for å kunne sende telegrammer til diplomater og kontakter på det amerikanske kontinentet. Ved inngangen til 1917 hadde krigen virkelig begynt å tære på tyske ressurser og alle tenkelige måter å vri krigen i deres favør ble vurdert i den tyske statsledelsen. Situasjonen var så kritisk at man så seg nødt til å gjenoppta den svært effektive ubegrensede ubåtkrigføringen i Atlanterhavet igjen, men det ville med stor sikkerhet bringe amerikanerne inn i krigen mot dem. Spørsmålet ble hvordan man kunne oppholde amerikanerne lenge nok fra å gå aktivt inn i de europeiske slagfeltene til de kunne bli vunnet av tyske styrker. Tyskerne hadde lenge jobbet aktivt med å oppmuntre britenes og franskmennenes potensielle fiender i koloniene deres til å gjøre opprør og en lignende taktikk ble tenkt ut mot USA. Den mest logiske løsningen var å spille amerikanernes gamle fiende i sør opp mot dem med løfte om økonomisk støtte og muligheten til å gjenvinne tapt land.

Zimmermann-telegrammet etter dechiffrering.

Under den mexikansk-amerikanske krigen i 1846-48 gikk et ekspansjonistisk USA til angrep på sin militært uforberedte og politisk kaotiske meksikanske naboer for å utvide sine territorier mot vest og sør, samt bekrefte innlemmingen av den store staten Texas i unionen. Mexico tapte krigen og måtte avstå halvparten av sine landområder til USA, inkludert New Mexico, Arizona, Utah, Nevada og California. I januar 1917 var USA fremdeles nøytrale i første verdenskrig, på tross av kontroversene rundt senkingen av Lusitania som førte til at tyskerne stanset sin ubegrensede ubåtkrig i første omgang i 1915. Mot løfter om at de ønsket å diskutere mulige fredssamtaler med sin ambassadør i Washington gav amerikanske myndigheter tyske diplomater tillatelse til å kommunisere over deres sjøkabler. 16. januar gav den tyske utenriksministeren Arthur Zimmermann et telegram kryptert med tyskernes mest avanserte chiffer, bestående av tusenvis av nøkkelord og numeriske koder, til den amerikanske ambassaden i Berlin som videresendte det via London til utenriksdepartementet i Washington som så gav det til den tyske ambassadøren. I England ble telegrammet snappet opp av britisk etterretning som ennå ikke hadde klart å knekke den nye koden som ble brukt, men de  fra det de kunne lese av den hadde de en idé om hvor viktig den kunne være. Til alt hell gjorde den tyske ambassadøren i Washington en stor tabbe da han skulle sende telegrammet videre til de meksikanske myndighetene. I stedet for å bruke det nye chifferet brukte han en eldre variant som britene alt hadde knekt. Telegrammet som ble sendt ble fanget opp av britenes spion i det meksikanske telegrambyrået og nå hadde de alt de trengte for å dekryptere det. Tre sjokkerende viktige elementer gikk frem av dokumentet:

  • Tyskerne planla å gjenoppta uinnskrenket ubåtkrig i Atlanterhavet,
  • Tyskland oppmuntret Mexico til å angripe landområdene i USA som gikk tapt under krigen på midten av 1800-tallet med tysk økonomisk støtte,
  • og de ønsket Mexicos hjelp til å overtale Japan til å angripe USA.

Da amerikanerne fikk overlevert telegrammet fra britene skapte det furore i nasjonen som så lenge hadde forsøkt å holde seg utenfor krigen. Tyskland var uten tvil amerikanernes fiende. Telegrammet skapte også så mye mistillit mellom amerikanerne og meksikanerne, på tross av at sistnevnte aldri hadde rukket vurdere telegrammet engang før det ble offentliggjort, at det ved minst ett tilfelle ble en alvorlig grensetrefning mellom soldater fra begge land.

Maskinene tar over

Lorenz-maskinen var blant tyskernes mest avanserte krypteringsmaskiner under 2. verdenskrig og ble brukt på de høyeste militære nivåene i det tredje riket. Legg merke til rotorene nederst.

Krypteringen fra første verdenskrig var som alltid før i historien begrenset av at den ble gjort av mennesker med enkelt utstyr som penn og papir. Kompleksiteten i kodene ble begrenset til hva som var praktisk mulig og den tiden det tok å utføre den. I mellomkrigstiden ble mer avanserte apparater som brukte roterende hjul med alle bokstavene i alfabetet koblet til et enkelt tastatur utviklet. For hver gang man trykket på en bokstav roterte hjulet til en tilfeldig plass slik at det ble brukt en ny bokstav hver gang. Desto flere hjul man koblet sammen, desto mer kompleks ble koden Det gjorde det på kort tid mulig å gå fra tusener til millioner av mulige kombinasjoner i løpet av kort tid. Tyskerne kjøpte inn titusener av slike apparater, kalt Enigma, til sine militære styrker og gav ut månedlige kodebøker med daglige nøkler for å bruke den. I Polen klarte en tysk matematiker å regne ut hvordan maskinen fungerte og konstruerte med utgangspunkt i en stjålen Enigma-maskin et apparat som kunne regne seg fram til den daglige nøkkelen til tyskerne. I 1938 la tyskerne til to nye rotorer til Enigmamaskinene, noe som gjorde de praktisk talt umulige å knekke med den polske maskinen. Da krigen brøt ut året etter klarte britene å smugle den ut av Polen og brukte den som utgangspunkt for større og mer avanserte maskiner som under blant annet Alan Turing klarte å knekke Enigma for godt. I 1943 ble de mekaniske maskinene erstattet av Colossus, den første elektroniske kodeknekkermaskinen som ikke den mest avanserte tyske krypteringsmaskinen klarte å lure.

Så hvis kryptering som brukte nøkler som kunne bestå av millioner av kombinasjoner kunne knekkes allerede under andre verdenskrig, hvordan kan vi lage sikker kommunikasjon i dag da? I eksemplet med det polyalfabetiske chifferet brukte vi et ord for å lage en mer komplisert nøkkel. Tenk deg at vi i stedet for bokstaver som kan gjenta seg bruker en terning med 29 sider; en til hver bokstav i alfabetet, i stedet og lot tilfeldighetene avgjøre rekkefølgen på tallene. Ordet «historie», som består av åtte bokstaver, vil på denne måten alene kunne krypteres med drøyt 500 milliarder mulige kombinasjoner av nøkler med det norske alfabetet. Siden det er åtte bokstaver i ordet blir det 29*29*29*29*29*29*29*29 mulige kombinasjoner, Det krever eksponensielt mer datakraft for å knekke slike chiffer for hver ekstra bokstav som gir utgangspunkt for en ny nøkkel.

Fra det statlige til det private

Utviklingen av kryptering og koder har vært ledere og staters enevelde i mesteparten av historien. Men med Colossus begynte utviklingen mot dataalderen og datamaskiner ble en uvurderlig del av store bedrifters daglige drift. Etterhvert som modem kunne brukes til å sende data fra et kontor til det neste så ble også kryptering i det private viktig for å sikre for eksempel bedriftshemmeligheter mot industrispionasje, og ansatte og kunders personlige informasjon fra å bli stjålet og utnyttet til kriminelle formål som identitestyveri og økonomisk vinning. I tillegg ble det et spørsmål om skillet mellom hva staten hadde rett til av innsyn og hva som burde få være privat. Krypteringen vi har snakket om til nå krever at både mottager og avsender har den samme nøkkelen og at denne ikke kan fanges opp av andre slik to russiske krigsskip gjorde under første verdenskrig da de fant tre intakte tyske kodebøker ombord på den strandede tyske krysseren SMS Magdeburg utenfor kysten av Estland i august 1914. De gav den ene boken til britene som i sin tur brukte den til å overraske tyske krigsskip ved flere anledninger etter å ha lest deres hemmelige kommunikasjoner. Å dele nøkkel er greit om man kan møtes og dele den ansikt til ansikt, men på Internett er det upraktisk. Bare tenk deg hvordan det hadde vært om du hadde måttet møte alle du kjente på sosiale medier personlig først for å utveksle nøkler før dere kunne gå hver for dere og logge på Messenger eller Snapchat. På 70-tallet måtte firmaer ha egne ansatte som reiste rundt til lokale kontorer med krypteringsnøklene personlig. Det var åpenbart at man trengte noe nytt. Løsningen kom i 1976 med asymmetrisk kryptografi, eller Offentlig-nøkkel-kryptografi som det er bedre kjent som. Ved å gi hver bruker på nettet to nøkler, en som gjøres offentlig for andre maskiner å se og en privat som forblir på brukerens egen maskin. De er øyensynlig forskjellige, men knyttet sammen gjennom avanserte matematiske formler. Så hvis Ola vil sende en hemmelig melding til Kari over nettet så kan han bruke hennes offentlige nøkkel til å kryptere meldingen til henne med. Den offentlige nøkkelen til Kari kan ikke brukes til å dekryptere meldingen til et leselig språk, det er det nå bare Karis private nøkkel som kan gjøre. For å forsikre Ola om at det faktisk er Karis offentlige nøkkel han bruker slik at han ikke sender meldingen til noen helt andre, så følger det alltid med en digital signatur i den offentlige nøkkelen; en liten melding som er lagd med Karis private nøkkel og som fungerer som et digitalt ID-kort, eller sertifikat om du vil. Behovet for å dele på den samme nøkkelen forsvant, samtidig som etterretningstjenestene i USA fikk panikk da monopolet på avansert kryptering forsvant. Med personlige datamaskiner på 80- og 90-tallet kunne nå hvem som helst ha en avansert krypteringsmaskin i hjemmet. Fra myndighetenes side kom det forslag om å bygge inn små overstyringsbrikker i alle datamaskiner for å kunne omgå privat kryptering ved behov, men de totalitære implikasjonene ved en slik “overvåkningsbrikke” hindret politikerne fra å gjøre det til lov. Det er ikke umulig å knekke denne typen kryptering, men som vi så med polyalfabetiske chiffer så er sikkerheten knyttet til hvor kompleks nøkkelen er. I dataspråk måles nøkkelstørrelsen i bits, og desto flere bits den har, desto vanskeligere er den å knekke. De vanligste i dag er 128 og 256 bit kryptering. Med dagens regnekraft er en godt lagd 256 bit kryptering praktisk talt umulig å knekke, selv for store etterretningstjenester som NSA og CIA. Så hver gang du åpner en nettside i dag, slik som denne, og ser bokstavene https:// eller et lite hengelåssymbol så vet du at datamaskinen din bruker offentlig-nøkkel-kryptering gjennom protokollen SSL når den kommuniserer med siden. I nettlesere som Firefox kan du også lese hvem som har utstedt sertfikatet bare ved å holde musepekeren over den grønne hengelåsen. Mange sider har fortsatt blandet innhold hvor de henter bilder, reklame eller kodesnutter fra andre nettsider som ikke er sikret med SSL og da får man opp et varsel i nettleseren om at ikke hele siden er sikker.

For å sette det i perspektiv…

Kryptering på gjør det altså mindre sannsynlig at noen kan se hva vi ser på og hva vi selv sender over internett. Når vi så logger på for eksempel e-post, nettbank, nettbutikker eller sosiale medier så sørger det for at ingen uvedkommende kan se hva vi skriver til andre, hva vi handler på nettbutikken eller enda verre; lese brukernavnet og passordet vårt bare ved å lytte på nettet for siden å logge seg inn på vår side og gjøre all slags ugagn.

Så hvorfor skal du være bekymret for at stater kan ha muligheten til å overvåke alt du foretar deg? Det er vel bare de som gjør noe galt som har noe å frykte fra overvåkning? Vel, livet er ikke så svart-hvitt. Vi har alle små private hemmeligheter, ting vi gjør når vi er alene, sanger vi synger i dusjen når ingen kan høre dem. Ting vi liker å gjøre, blogger og nettsider vi leser i smug, serier vi elsker å se, men som ville gjort oss flaue om noen tok oss i å gjøre det. Selv de mest selvutleverende bloggerne på nettet har passord på sidene sine og holder personnummeret sitt hemmelig. Ville vi gjort disse tingene som gav oss små private gleder i livet om vi visste at noen så på oss? Sannsynligvis ikke, ihvertfall ville færre føle seg komfortable med å gjøre det. Det å vite at noen ser hva man gjør endrer ens atferd. Det trenger ikke engang være noen som overvåker en til enhver tid, det holder med å vite at man kan bli overvåket når som helst for at man skal endre atferd. En studie har også vist at det holder å ha synlige bilder av øyne som ser utover en sykkelparkering for å redusere antallet sykkeltyverier. Men å overvåke fysisk eiendom er noe helt annet enn å overvåke, vel mennesker. Det å vite at man kan bli overvåket av en stat eller store internasjonale konserner, at man ikke har noen hemmeligheter fra dem, hverken på Facebook, Twitter, Messenger, Snapchat eller noen andre steder, vil påvirke hva du deler med andre, hva du handler, hvor du handler, hva du tør si høyt eller skrive privat til en venn og hva du holder tilbake av frykt for at noen skal bruke det mot deg en gang i fremtiden. Dine innerste tanker vil du ikke lenger våge å dele med dine nærmeste av frykt for at noen kan snappe det opp og velger å bruke det mot deg senere. Derfor er kryptering i informasjonssamfunnet viktig.

Hverken Adlibris eller norli krypterer sidene sine i skrivende stund (mars 2017) når man ikke er innlogget. Ergo kan hvem som helst med litt kunnskaper følge med på hvilke bøker du ser på og gjøre seg opp noen tanker om deg basert på dine interesser.

For å parafrasere Edward Snowdens eksempel fra et intervju på TED Talks i 2014: Hvis du i dag går på bokhandlene Adlibris.no eller norli.no og ser på den klassiske boken “1984” av George Orwell så kan CIA, NSA, Russisk, kinesisk og enhver statlig etterettningstjeneste i hele verden se det hvis de vil. Kryptering av nettsider sikrer alle det privatlivet, den friheten og den tryggheten fra å bli overvåket som vi alle fortjener og har rett på. Et samfunn hvor alle kan overvåkes av staten, eller like ille, en annen stat eller et gigantisk mediekonsern, når som helst og hvor som helst, er tyranners drømmesamfunn. Overvåkning på nettet fostrer lydighet, underdanighet og konformitet. Det dreper den frie presse, politiske uenighet vil føles utrygt og staten og dens ansatte vil kunne operere uten tøyler. I disse dager hvor det er blitt avslørt at CIA kan avlytte og videoovervåke deg fra gjennom din egen smart-TV kan det være på sin plass å avslutte med et utdrag fra nettopp “1984”, en bok om det ultimate overvåkningssamfunnet og menneskene det skaper:

Behind Winston’s back the voice from the telescreen was still babbling away about pig iron and the overfulfillment of the Ninth Three-Year Plan. The telescreen received and transmitted simultaneously. Any sound that Winston made, above the level of a very low whisper, would be picked up by it; moreover, so long as he remained within the field of vision which the metal plate commanded, he could be seen as well as heard. There was of course no way of knowing whether you were being watched at any given moment. How often, or on what system, the Thought Police plugged in on any individual wire was guesswork. It was even conceivable that they watched everybody all the time. but at any rate they could plug in your wire whenever they wanted to. You have to live – did live, from habit that became instinct – in the assumption that every sound you made was overheard, and, except in darkness, every movement scrutinized.

Sw yqbhrg

Del.