Våra senaste
toppartiklar

- TechWorld:

5 klassiska
it-krig


- TechWorld:

It-krig

It-krig gör oss
dumma i huvudet


- Computer Sweden:

Foto: Charlie Bennet, Tele2

Attack slog ut Tele2:s nät


- IDG.se:

Inga planer på slopad Copyswede-avgift

Vill du behålla privatkopieringsavgiften?

- Computer Sweden:

"It-säkerhet är en paradox"

Säkerhet bygger på några enkla regler. All it-säkerhet verkar gå ut på att bryta mot de reglerna utan att det straffar sig.

Regel ett: Säkraste sättet att överföra hemlig information är att du och jag träffas på ett säkert ställe. Vi kan ta den omtalade promenaden i skogen. Där berättar jag hemligheterna för dig.
Jag är naturligtvis medveten om att detta ofta inte är praktiskt möjligt. Du och jag kan kanske inte träffas. Hemligheterna kanske är så omfattande att det inte går att lagra allt i huvudet.

Men det ändrar inte grundregeln. Tekniska hjälpmedel, vare sig det är papper och penna eller krypterade usb-minnen, kan inte göra hemligheterna säkrare. Inte heller mänskliga medhjälpare.
Elektronisk kommunikation kan avlyssnas, papper kan läsas och kopieras. Visst, mottagaren av hemligheterna kan också försäga sig eller skvallra – liksom den som berättar. Men om du och jag inte litar på varandra är det kört från början.

Regel två
: Bästa sättet att att identifiera någon är att sitta i samma rum. Om jag känner dig tillräckligt väl för vara säker på att du är du så kan jag identifiera dig. Om jag inte gör det så kan jag inte identifiera dig. Samma sak här: inga tekniska hjälpmedel och inga mänskliga medhjälpare kan vara säkrare än det personliga igenkännandet. (Vi bortser från scenarier med enäggstvillingar.)

All säkerhet bygger på att man vet vem man har att göra med och att man litar på den personen.
Därför är nästan all it-säkerhet en paradox.
Vi försöker bygga bort båda dessa krav.
Elektroniska id-handlingar delas ut av banker och andra organisationer till personer som ingen på avsändarsidan har träffat eller känner igen. I bästa fall i rekommenderat brev.
Kan man lita på den person som den elektroniska id-handlingen utfärdas till? Ifall id-handlingen har hamnat i fel händer är den frågan akademisk.

Jag har flera gånger talat med utvecklare av avancerade säkerhetssystem och ställt frågan: hur vet ni att systemet identifierar rätt person?

Att ni har registrerat mitt fingeravtryck med vetenskaplig exakthet spelar ju ingen roll ifall det inte står under mitt namn. Om det står att fingeravtrycket tillhör Nisse Hult är säkerheten lika med noll, oavsett hur precist fingeravtrycket har registrerats. Fel namn kortsluter hela komplexiteten.

Säkerhetsexperterna brukar göra stora ögon när jag tar upp detta, som om jag dragit upp något helt ovidkommande.
Men man behöver bara läsa i tidningarna om huskapningar och obefogade dödförklaranden för att se konsekvenserna.
I värsta fall blir det jag som måste bevisa att jag är jag, vilket ingen myndighet tror på, oavsett vad vänner och släktingar intygar. Datorn säger ju Nisse Hult.

Visst, det är svårt att förklara hur vi känner igen andra människor. Men det är ändå det mänskliga igenkännandet som är det grundläggande. Inte vad datorn säger, oavsett hur invecklade och precisa algoritmer den använder för att skilja ett fingeravtryck från ett annat.

Elektronisk identifikation är en annan paradox.
Det används krypteringsalgoritmer med nycklar på flera tusen tecken. De skriver elektroniska signaturer och krypterar text. Det är nästan omöjligt att minnas nycklar på flera tusen tecken, så nycklarna lagras i datorn. Men de skyddas av ett lösenord på ett fåtal tecken.

Om en inbrottstjuv hittar lappen med det korta lösenordet behöver han inte bekymra sig om krypteringsnyckeln på flera tusen tecken. Den vaknar till liv och gör det den ska efter några enkla knapptryckningar.

För det handlar inte främst om din säkerhet.
Alltför ofta handlar det om bankens säkerhet.
Det tänkandet är så ingrott att många i säkerhetsbranschen inte är medvetna om det.

Den fyrsiffriga koden till bankomatkoden skyddar banken. Den innebär att det är ditt eget fel om någon annan tar ut pengar från ditt konto, för då har du definitionsmässigt lämnat ut koden.
Och om någon använder din e-legitimation för att flytta pengar eller anmäla att du har flyttat fast du inte har gjort det, så är det också ditt fel. Du har, definitionsmässigt, lämnat ut koden till e-legitimationen.

Säkerhetssystem som går ut på att ena parten ska ha ryggen fri är väsensskilda från de som går ut på att ingen obehörig, oavsett hur det går till, ska kunna ställa till skada.



Whitepaper


Så håller du koll på viktigaste nyheterna

Artikelkommentatorerna ansvarar själva för sina inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg.
Vi har nolltolerans mot inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande. Även poänglösa datorkrigsinlägg och inlägg som är off topic tas bort. Brott mot reglerna kan leda till permanent avstängning.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla idg.se@idg.se

Läs mer om vår policy i diskussionsforum


Så håller du koll på nyheterna

Aktuella jobb

Utvalda whitepaper

Mobil IT-säkerhet utan kompromisser
App app app... 20 API tips
Sju krav på mejl i molnet

Nyhetsbrev

Anmäl dig till vårt dagliga nyhetsbrev!

Morgonens viktigaste it-nyheter och Dagens Dilbert

Please don't insert text in the box below! Please don't insert text in the box below! Villkor

Nyheter

Tåg vid fält

IDG.SE | Foto: Stefan Nilsson

Andra delen: Så fungerar
järnvägens signalsystem

Jörgen Städje undersöker tekniken som låter tåg dundra fram utan att krocka. Följ med på en resa genom 150 år av automationsutveckling.


- Computer Sweden:

Sveriges internetmuseum

Så blir Sveriges nya internetmuseum


- TechWorld:

5 klassiska
it-krig


- Internetworld:

Därför minskar din Facebooktrafik

- M3:

Andreas Thors

"Bota dina minnesluckor - med trådlöst internet"


- TechWorld:

It-krig

It-krig gör oss
dumma i huvudet


- Computer Sweden:

Foto: Charlie Bennet, Tele2

Attack slog ut Tele2:s nät


IDG.SE l Foto:Anna Rut Fridholm

IDG.SE l Foto:Anna Rut Fridholm

Inga planer på slopad
Copyswede-avgift

I Finland är avgiften för lagringsmedier på väg att tas bort. Istället ska upphovsmännen kompenseras ur statskassan. Men det är inte aktuellt i Sverige.

Computer Sweden

Computer Sweden

Därför väljer Apple Lund

Nyheter Det är för att inte tappa nyckelpersoner som företaget väljer Lund som etableringsort för sitt nya utvecklingscenter.


- IDG.se:

Nokias N1

7 viktiga saker som hände i veckan


FRA-logga

FRA: Sluta
outsourca it!

Outsourcing dränerar myndigheterna på kompetens och hotar it-säkerheten. Det anser FRA som istället vill se ett gemensamt myndighetsmoln.


- IDG.se:

Google contributor

Skulle du betala för att slippa reklam?

Skulle du kunna tänka dig att betala för att slippa se annonser?

- M3:

Batteri

Här är 10 tips för längre batteritid i mobilen


- IDG.se:

Hossein Derakhshan

Iransk bloggare frigiven efter sex år


- Computer Sweden:

Dustin

Stort systembyte ska få Dustin att växa fortare


- IDG.se:

Telia varnar för bluff-sms


- TechWorld:

skadliga annonser

Skadliga annonser finns överallt


- CIO Sweden:

Företagen slåss om datavetarna


- Computer Sweden:

Mobile Heights Center

Här är Apples
nya skånska hem

Nyhetsbrev
Kontakta oss
Postadressen är:
IDG.se, Karlbergsvägen 77, 106 78 Stockholm

Telefon (växel): 08-453 60 00

Ansvarig utgivare: Carl Grape



Om IDG.se
Copyright © International Data Group