När internet har tappat alla sina nycklar

Ibland kommer det buggar som jag tycker är alldeles extra obehagliga. Heartbleed är en sådan.

Nästan hela internet och nästan alla sajter du besöker är beroende av kryptografi för att sköta inloggning och skydd av information. Även mycket av samhällets infrastruktur. Google, Facebook, Försäkringskassan, sjukvården, polisen…. Allt behöver säker kryptografi.

En av de vanligaste sätten att kryptera saker går ut på att man har en publik och en privat nyckel. Den publika nyckeln delas med alla och den privata nyckeln ska servern hålla hemlig. Nycklarna används både för att skydda informationen under tiden den transporterats på internet, men även för att bevisa att den som skickat meddelandet är rätt avsändare.

En mycket stor andel av alla som använder kryptering använder samma mjukvara för att göra det, nämligen OpenSSL. I OpenSSL har det nu visat sig finnas ett fel, som gör att en angripare kan läsa allt som servern har i sitt minne. Alla chattkonversationer, alla lösenord, allt.

Värst av allt är att nästan alla privata krypteringsnycklar går att läsa (med ett viktigt undantag för de som har de allra skyddsvärdaste nycklarna, som skyddas på andra sätt). Det innebär att nycklarna som används för att visa att servar verkligen är de som de ger sig ut för att vara kan vara på vift. Och alla nycklar för att hålla trafik hemlig.

Det här kommer med en väldigt intressant tajming för den som är konspiratoriskt lagd. I höstas tror jag väldigt få missade rabaldret kring Snowden och NSA. En av de absolut allvarligaste sakerna som det fanns spår av i materialet Snowden släppte var just att det kunde finnas svagheter i OpenSSL eller någon annan liknande stor mjukvara. Det här startade stora satsningar på kodgenomgång och buggjakt på många fronter. Nu hittades en sårbarhet av digniteten som alla var livrädda för. Det betyder däremot inte att NSA vare sig orsakat eller känt till buggen – något sådant har jag inte sett någon påstå sig ha bevis för.

EDIT: När saker låter för bra för att vara sant ska man bli misstänksam. Även när det låter för illa för att vara sant. http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html är en genomgång av buggen. Det finns ett gäng begränsningar, varav vissa borde varit uppenbara för mig med en gång.

EDIT: Fast jag hade fel om att jag hade fel. Det är så illa som jag trodde först.

Annonser

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s