Krypterte handtrykk
Banken er ei av dei viktigaste tenestene samfunnet har utvikla. Han hjelper oss å halde styr på økonomien og passar på at andre ikkje får tak i pengane våre.
I gamle dagar gjekk vi inn i den lokale bankfilialen, helsa på bankfunksjonæren, og utførte uttak eller innskot og bad om lån. Men først vart ein tillitsrelasjon skapt mellom oss og banken, med legitimasjon eller ved at funksjonæren kjende oss. Av og til stadfesta med eit handtrykk. Men i dag utfører vi banktenestene våre i bank-appen på smarttelefonen; kva med handtrykket då?
Bank-appen kommuniserer gjerne via ei lokal trådlaus tilkopling. Mange trur gjerne at innlogging og identifikasjon med bankID er det som skal til for trygg kommunikasjon, men om du ope sender informasjon om passord, bankID, kontonummer, uttak og innskot, så vert dette kringkasta til alle som er interesserte.
Analogien til den gamle verda er at du kjem inn i bankbygningen, ropar ut kontonummeret og personnummeret ditt så alle kan høyre det, og så svarer bankfunksjonæren med å rope på same måten utan blygsel. Så her må det kryptering til.
Kryptering hindrar at andre aktørar får tilgang til dine data, og skaper tillit mellom partane. Kryptering gjer ein sendar i stand til å omsetje fullt leseleg informasjon til noko komplett uforståeleg som berre mottakaren kan omsetje tilbake til forståeleg informasjon.
I utgangspunktet var det ein teknologi for krigførande makter og diplomatiet. Men i dag bruker vi alle kryptering: når du les Dag og Tid på nettet, kjøper flybillettar på SAS eller går i banken. Alle desse krev eit kryptert handtrykk som stadfestar tillit og klargjer ei kontaktflate for dei tenestene som skal utførast. Og dette må vere gjort før teknologien set i gang med innlogging, som er den metoden banken bruker for å verifisere at det faktisk er du som bruker appen.
Kryptering fungerer slik at sendaren og mottakaren må vere samde om ein felles nøkkel, til dømes eit veldig stort tal, som blir brukt til å gjere informasjonen uforståeleg, men samtidig kan brukast til å «låse» opp informasjonen igjen. I dag finst det mange sikre krypteringsmåtar, men det står att eitt problem. Korleis kan vi ha felles nøklar utan at dei òg vert kommuniserte? Om dei ikkje er hemmelege, kan jo kven som helst få tak i dei og utføre omsetjinga.
Krypteringsforskarar klarte til slutt å konstruere det som vert kalla par av asymmetriske nøklar, og det er det som skal til for å få kommunisert felles (symmetriske) nøklar. Asymmetriske nøklar fungerer nett som om alle kan låse døra di, men berre du kan låse ho opp att. Den eine parten bruker ein av nøklane til å gjere meldinga uforståeleg, og så bruker den andre parten den andre nøkkelen til å gjere ho forståeleg igjen. Banken, som ønskjer at kundar kan sende hemmelege meldingar, offentleggjer ein nøkkel for kryptering, den kan alle sjå. Men han har òg ein nøkkel som er privat, ukjend for alle andre, som skal brukast til omsetjing av informasjonen frå kunden. Berre banken kan forstå meldingar som er krypterte med bankens offentlege nøkkel.
Sjølve handtrykket involverer òg ein tredje aktør. Sertifikatstyresmakter er nett-
stader som godkjenner og held informasjon om verksemder som tilbyr krypterte tenester. Blant anna held dei på informasjon om kva algoritmar nettstadene brukar og den offentlege nøkkelen deira. Denne informasjonen vert lagra i eit såkalla sertifikat, og styresmakta set eit stempel på sertifikatet i form av ein tekst kryptert med den private nøkkelen til sertifikatutferdaren. Dette stempelet kan berre dekrypterast med den offentlege nøkkelen til utferdaren.
Handtrykket byrjar med at appen sender ein førespurnad til bankens datamaskin om å få gjere banktenester: «Hei, her er eg, eg vil gjerne gjere noko i banken.» Banken svarer med eit sertifikat: «Eg er open, og du kan sjekke at eg er banken din, ved å sjekke dette sertifikatet.» Appen din spør så sertifikatstyresmakta om dette er eit gyldig sertifikat, og det kan han sjekke ved å dekode signaturen på sertifikatet: «Ja, du har kome til rett bank.» Alt dette skjer ope, og ein datasnok kan gjerne følgje med på samtalen. Men det blir som om nokon ser deg gå inn i banken; det avslører jo ikkje noko om kva du skal gjere der.
No startar prosessen for å etablere felles nøklar for symmetrisk kryptering. Bank-appen lagar ein pre-nøkkel, eit kjempestort tilfeldig tal. Og så vert talet sendt over til banken, kryptert med den offentlege nøkkelen: «Hei, bank, du kan lage symmetrisk nøkkel med dette talet.» Det geniale er at alle som prøver, kan sjå denne meldinga, men ingen andre enn banken kan forstå ho. Så bruker begge partane denne pre-nøkkelen til å rekne ut ein felles symmetrisk nøkkel. Dei er samde om kva algoritme som skal brukast, så nøkkelen som kjem ut av algoritmen, vert den same. Voilà! Appen og banken har same hemmelege nøkkel.
No er trygg og effektiv kommunikasjon etablert, og appen og banken er ferdige med sin del av handtrykket. Først no stadfestar banken kven du er, med passord og bankID, og så kan banktransaksjonane starte. Puh! Vi skal vere glade for at vi ikkje må utføre dette manuelt kvar gong vi skal kommunisere med banken.
Det største problemet for sikker databruk er nok ikkje å etablere trygg og tillitsfull kommunikasjon med krypterte handtrykk, men heller vår eiga åtferd: Vi brukar ikkje sikre nok passord, vi legg att sensitiv informasjon på alle slags nettstader, eller vi gjev ukjende aktørar tilgang til datamaskina vår ved å opne usikre e-postvedlegg.
Bjørnar Tessem
og Lars Nyre
Er du abonnent? Logg på her for å lese vidare.
Digital tilgang til DAG OG TID – heilt utan binding
Prøv ein månad for kr 49.
Deretter kr 199 per månad. Stopp når du vil.
Banken er ei av dei viktigaste tenestene samfunnet har utvikla. Han hjelper oss å halde styr på økonomien og passar på at andre ikkje får tak i pengane våre.
I gamle dagar gjekk vi inn i den lokale bankfilialen, helsa på bankfunksjonæren, og utførte uttak eller innskot og bad om lån. Men først vart ein tillitsrelasjon skapt mellom oss og banken, med legitimasjon eller ved at funksjonæren kjende oss. Av og til stadfesta med eit handtrykk. Men i dag utfører vi banktenestene våre i bank-appen på smarttelefonen; kva med handtrykket då?
Bank-appen kommuniserer gjerne via ei lokal trådlaus tilkopling. Mange trur gjerne at innlogging og identifikasjon med bankID er det som skal til for trygg kommunikasjon, men om du ope sender informasjon om passord, bankID, kontonummer, uttak og innskot, så vert dette kringkasta til alle som er interesserte.
Analogien til den gamle verda er at du kjem inn i bankbygningen, ropar ut kontonummeret og personnummeret ditt så alle kan høyre det, og så svarer bankfunksjonæren med å rope på same måten utan blygsel. Så her må det kryptering til.
Kryptering hindrar at andre aktørar får tilgang til dine data, og skaper tillit mellom partane. Kryptering gjer ein sendar i stand til å omsetje fullt leseleg informasjon til noko komplett uforståeleg som berre mottakaren kan omsetje tilbake til forståeleg informasjon.
I utgangspunktet var det ein teknologi for krigførande makter og diplomatiet. Men i dag bruker vi alle kryptering: når du les Dag og Tid på nettet, kjøper flybillettar på SAS eller går i banken. Alle desse krev eit kryptert handtrykk som stadfestar tillit og klargjer ei kontaktflate for dei tenestene som skal utførast. Og dette må vere gjort før teknologien set i gang med innlogging, som er den metoden banken bruker for å verifisere at det faktisk er du som bruker appen.
Kryptering fungerer slik at sendaren og mottakaren må vere samde om ein felles nøkkel, til dømes eit veldig stort tal, som blir brukt til å gjere informasjonen uforståeleg, men samtidig kan brukast til å «låse» opp informasjonen igjen. I dag finst det mange sikre krypteringsmåtar, men det står att eitt problem. Korleis kan vi ha felles nøklar utan at dei òg vert kommuniserte? Om dei ikkje er hemmelege, kan jo kven som helst få tak i dei og utføre omsetjinga.
Krypteringsforskarar klarte til slutt å konstruere det som vert kalla par av asymmetriske nøklar, og det er det som skal til for å få kommunisert felles (symmetriske) nøklar. Asymmetriske nøklar fungerer nett som om alle kan låse døra di, men berre du kan låse ho opp att. Den eine parten bruker ein av nøklane til å gjere meldinga uforståeleg, og så bruker den andre parten den andre nøkkelen til å gjere ho forståeleg igjen. Banken, som ønskjer at kundar kan sende hemmelege meldingar, offentleggjer ein nøkkel for kryptering, den kan alle sjå. Men han har òg ein nøkkel som er privat, ukjend for alle andre, som skal brukast til omsetjing av informasjonen frå kunden. Berre banken kan forstå meldingar som er krypterte med bankens offentlege nøkkel.
Sjølve handtrykket involverer òg ein tredje aktør. Sertifikatstyresmakter er nett-
stader som godkjenner og held informasjon om verksemder som tilbyr krypterte tenester. Blant anna held dei på informasjon om kva algoritmar nettstadene brukar og den offentlege nøkkelen deira. Denne informasjonen vert lagra i eit såkalla sertifikat, og styresmakta set eit stempel på sertifikatet i form av ein tekst kryptert med den private nøkkelen til sertifikatutferdaren. Dette stempelet kan berre dekrypterast med den offentlege nøkkelen til utferdaren.
Handtrykket byrjar med at appen sender ein førespurnad til bankens datamaskin om å få gjere banktenester: «Hei, her er eg, eg vil gjerne gjere noko i banken.» Banken svarer med eit sertifikat: «Eg er open, og du kan sjekke at eg er banken din, ved å sjekke dette sertifikatet.» Appen din spør så sertifikatstyresmakta om dette er eit gyldig sertifikat, og det kan han sjekke ved å dekode signaturen på sertifikatet: «Ja, du har kome til rett bank.» Alt dette skjer ope, og ein datasnok kan gjerne følgje med på samtalen. Men det blir som om nokon ser deg gå inn i banken; det avslører jo ikkje noko om kva du skal gjere der.
No startar prosessen for å etablere felles nøklar for symmetrisk kryptering. Bank-appen lagar ein pre-nøkkel, eit kjempestort tilfeldig tal. Og så vert talet sendt over til banken, kryptert med den offentlege nøkkelen: «Hei, bank, du kan lage symmetrisk nøkkel med dette talet.» Det geniale er at alle som prøver, kan sjå denne meldinga, men ingen andre enn banken kan forstå ho. Så bruker begge partane denne pre-nøkkelen til å rekne ut ein felles symmetrisk nøkkel. Dei er samde om kva algoritme som skal brukast, så nøkkelen som kjem ut av algoritmen, vert den same. Voilà! Appen og banken har same hemmelege nøkkel.
No er trygg og effektiv kommunikasjon etablert, og appen og banken er ferdige med sin del av handtrykket. Først no stadfestar banken kven du er, med passord og bankID, og så kan banktransaksjonane starte. Puh! Vi skal vere glade for at vi ikkje må utføre dette manuelt kvar gong vi skal kommunisere med banken.
Det største problemet for sikker databruk er nok ikkje å etablere trygg og tillitsfull kommunikasjon med krypterte handtrykk, men heller vår eiga åtferd: Vi brukar ikkje sikre nok passord, vi legg att sensitiv informasjon på alle slags nettstader, eller vi gjev ukjende aktørar tilgang til datamaskina vår ved å opne usikre e-postvedlegg.
Bjørnar Tessem
og Lars Nyre
Det største problemet for sikker
databruk er nok vår eiga åtferd.
Fleire artiklar
Carl Friedrich Abel (1723–1787). Utsnitt av måleri av Thomas Gainsborough frå 1777.
Mellom verder
Carl Friedrich Abel var den siste store viola da gamba-virtuosen.
Trea vil fortelje meg noko, skriv Ranveig Lovise Bungum.
Foto: Trond Mjøs
Kva ospa og dei andre trea kan fortelje oss
Anders Hovden.
Foto via Wikimedia Commons
Hovdens fredssalme
I 1923 sende Anders Hovden salmen «Joleklokker yver jordi» til bladet Under Kirkehvælv, der han kom på trykk same året.
I kvardagen kan det verte litt stress, til dømes får du ikkje den grøne pynten heilt perfekt. Men her er den herlege tomatsuppa mi med skrei.
Foto: Dagfinn Nordbø
Kvardagen
Det er dei det er flest av, kvardagane.
Teikning: May Linn Clement
Det skulle berre mangla
Det er nok ikkje manglande hjartelag som gjer at folk er interesserte i ord.
Papiravisa