Krypterte handtrykk
Banken er ei av dei viktigaste tenestene samfunnet har utvikla. Han hjelper oss å halde styr på økonomien og passar på at andre ikkje får tak i pengane våre.
I gamle dagar gjekk vi inn i den lokale bankfilialen, helsa på bankfunksjonæren, og utførte uttak eller innskot og bad om lån. Men først vart ein tillitsrelasjon skapt mellom oss og banken, med legitimasjon eller ved at funksjonæren kjende oss. Av og til stadfesta med eit handtrykk. Men i dag utfører vi banktenestene våre i bank-appen på smarttelefonen; kva med handtrykket då?
Bank-appen kommuniserer gjerne via ei lokal trådlaus tilkopling. Mange trur gjerne at innlogging og identifikasjon med bankID er det som skal til for trygg kommunikasjon, men om du ope sender informasjon om passord, bankID, kontonummer, uttak og innskot, så vert dette kringkasta til alle som er interesserte.
Analogien til den gamle verda er at du kjem inn i bankbygningen, ropar ut kontonummeret og personnummeret ditt så alle kan høyre det, og så svarer bankfunksjonæren med å rope på same måten utan blygsel. Så her må det kryptering til.
Kryptering hindrar at andre aktørar får tilgang til dine data, og skaper tillit mellom partane. Kryptering gjer ein sendar i stand til å omsetje fullt leseleg informasjon til noko komplett uforståeleg som berre mottakaren kan omsetje tilbake til forståeleg informasjon.
I utgangspunktet var det ein teknologi for krigførande makter og diplomatiet. Men i dag bruker vi alle kryptering: når du les Dag og Tid på nettet, kjøper flybillettar på SAS eller går i banken. Alle desse krev eit kryptert handtrykk som stadfestar tillit og klargjer ei kontaktflate for dei tenestene som skal utførast. Og dette må vere gjort før teknologien set i gang med innlogging, som er den metoden banken bruker for å verifisere at det faktisk er du som bruker appen.
Kryptering fungerer slik at sendaren og mottakaren må vere samde om ein felles nøkkel, til dømes eit veldig stort tal, som blir brukt til å gjere informasjonen uforståeleg, men samtidig kan brukast til å «låse» opp informasjonen igjen. I dag finst det mange sikre krypteringsmåtar, men det står att eitt problem. Korleis kan vi ha felles nøklar utan at dei òg vert kommuniserte? Om dei ikkje er hemmelege, kan jo kven som helst få tak i dei og utføre omsetjinga.
Krypteringsforskarar klarte til slutt å konstruere det som vert kalla par av asymmetriske nøklar, og det er det som skal til for å få kommunisert felles (symmetriske) nøklar. Asymmetriske nøklar fungerer nett som om alle kan låse døra di, men berre du kan låse ho opp att. Den eine parten bruker ein av nøklane til å gjere meldinga uforståeleg, og så bruker den andre parten den andre nøkkelen til å gjere ho forståeleg igjen. Banken, som ønskjer at kundar kan sende hemmelege meldingar, offentleggjer ein nøkkel for kryptering, den kan alle sjå. Men han har òg ein nøkkel som er privat, ukjend for alle andre, som skal brukast til omsetjing av informasjonen frå kunden. Berre banken kan forstå meldingar som er krypterte med bankens offentlege nøkkel.
Sjølve handtrykket involverer òg ein tredje aktør. Sertifikatstyresmakter er nett-
stader som godkjenner og held informasjon om verksemder som tilbyr krypterte tenester. Blant anna held dei på informasjon om kva algoritmar nettstadene brukar og den offentlege nøkkelen deira. Denne informasjonen vert lagra i eit såkalla sertifikat, og styresmakta set eit stempel på sertifikatet i form av ein tekst kryptert med den private nøkkelen til sertifikatutferdaren. Dette stempelet kan berre dekrypterast med den offentlege nøkkelen til utferdaren.
Handtrykket byrjar med at appen sender ein førespurnad til bankens datamaskin om å få gjere banktenester: «Hei, her er eg, eg vil gjerne gjere noko i banken.» Banken svarer med eit sertifikat: «Eg er open, og du kan sjekke at eg er banken din, ved å sjekke dette sertifikatet.» Appen din spør så sertifikatstyresmakta om dette er eit gyldig sertifikat, og det kan han sjekke ved å dekode signaturen på sertifikatet: «Ja, du har kome til rett bank.» Alt dette skjer ope, og ein datasnok kan gjerne følgje med på samtalen. Men det blir som om nokon ser deg gå inn i banken; det avslører jo ikkje noko om kva du skal gjere der.
No startar prosessen for å etablere felles nøklar for symmetrisk kryptering. Bank-appen lagar ein pre-nøkkel, eit kjempestort tilfeldig tal. Og så vert talet sendt over til banken, kryptert med den offentlege nøkkelen: «Hei, bank, du kan lage symmetrisk nøkkel med dette talet.» Det geniale er at alle som prøver, kan sjå denne meldinga, men ingen andre enn banken kan forstå ho. Så bruker begge partane denne pre-nøkkelen til å rekne ut ein felles symmetrisk nøkkel. Dei er samde om kva algoritme som skal brukast, så nøkkelen som kjem ut av algoritmen, vert den same. Voilà! Appen og banken har same hemmelege nøkkel.
No er trygg og effektiv kommunikasjon etablert, og appen og banken er ferdige med sin del av handtrykket. Først no stadfestar banken kven du er, med passord og bankID, og så kan banktransaksjonane starte. Puh! Vi skal vere glade for at vi ikkje må utføre dette manuelt kvar gong vi skal kommunisere med banken.
Det største problemet for sikker databruk er nok ikkje å etablere trygg og tillitsfull kommunikasjon med krypterte handtrykk, men heller vår eiga åtferd: Vi brukar ikkje sikre nok passord, vi legg att sensitiv informasjon på alle slags nettstader, eller vi gjev ukjende aktørar tilgang til datamaskina vår ved å opne usikre e-postvedlegg.
Bjørnar Tessem
og Lars Nyre
Er du abonnent? Logg på her for å lese vidare.
Digital tilgang til DAG OG TID – heilt utan binding
Prøv ein månad for kr 49.
Deretter kr 199 per månad. Stopp når du vil.
Banken er ei av dei viktigaste tenestene samfunnet har utvikla. Han hjelper oss å halde styr på økonomien og passar på at andre ikkje får tak i pengane våre.
I gamle dagar gjekk vi inn i den lokale bankfilialen, helsa på bankfunksjonæren, og utførte uttak eller innskot og bad om lån. Men først vart ein tillitsrelasjon skapt mellom oss og banken, med legitimasjon eller ved at funksjonæren kjende oss. Av og til stadfesta med eit handtrykk. Men i dag utfører vi banktenestene våre i bank-appen på smarttelefonen; kva med handtrykket då?
Bank-appen kommuniserer gjerne via ei lokal trådlaus tilkopling. Mange trur gjerne at innlogging og identifikasjon med bankID er det som skal til for trygg kommunikasjon, men om du ope sender informasjon om passord, bankID, kontonummer, uttak og innskot, så vert dette kringkasta til alle som er interesserte.
Analogien til den gamle verda er at du kjem inn i bankbygningen, ropar ut kontonummeret og personnummeret ditt så alle kan høyre det, og så svarer bankfunksjonæren med å rope på same måten utan blygsel. Så her må det kryptering til.
Kryptering hindrar at andre aktørar får tilgang til dine data, og skaper tillit mellom partane. Kryptering gjer ein sendar i stand til å omsetje fullt leseleg informasjon til noko komplett uforståeleg som berre mottakaren kan omsetje tilbake til forståeleg informasjon.
I utgangspunktet var det ein teknologi for krigførande makter og diplomatiet. Men i dag bruker vi alle kryptering: når du les Dag og Tid på nettet, kjøper flybillettar på SAS eller går i banken. Alle desse krev eit kryptert handtrykk som stadfestar tillit og klargjer ei kontaktflate for dei tenestene som skal utførast. Og dette må vere gjort før teknologien set i gang med innlogging, som er den metoden banken bruker for å verifisere at det faktisk er du som bruker appen.
Kryptering fungerer slik at sendaren og mottakaren må vere samde om ein felles nøkkel, til dømes eit veldig stort tal, som blir brukt til å gjere informasjonen uforståeleg, men samtidig kan brukast til å «låse» opp informasjonen igjen. I dag finst det mange sikre krypteringsmåtar, men det står att eitt problem. Korleis kan vi ha felles nøklar utan at dei òg vert kommuniserte? Om dei ikkje er hemmelege, kan jo kven som helst få tak i dei og utføre omsetjinga.
Krypteringsforskarar klarte til slutt å konstruere det som vert kalla par av asymmetriske nøklar, og det er det som skal til for å få kommunisert felles (symmetriske) nøklar. Asymmetriske nøklar fungerer nett som om alle kan låse døra di, men berre du kan låse ho opp att. Den eine parten bruker ein av nøklane til å gjere meldinga uforståeleg, og så bruker den andre parten den andre nøkkelen til å gjere ho forståeleg igjen. Banken, som ønskjer at kundar kan sende hemmelege meldingar, offentleggjer ein nøkkel for kryptering, den kan alle sjå. Men han har òg ein nøkkel som er privat, ukjend for alle andre, som skal brukast til omsetjing av informasjonen frå kunden. Berre banken kan forstå meldingar som er krypterte med bankens offentlege nøkkel.
Sjølve handtrykket involverer òg ein tredje aktør. Sertifikatstyresmakter er nett-
stader som godkjenner og held informasjon om verksemder som tilbyr krypterte tenester. Blant anna held dei på informasjon om kva algoritmar nettstadene brukar og den offentlege nøkkelen deira. Denne informasjonen vert lagra i eit såkalla sertifikat, og styresmakta set eit stempel på sertifikatet i form av ein tekst kryptert med den private nøkkelen til sertifikatutferdaren. Dette stempelet kan berre dekrypterast med den offentlege nøkkelen til utferdaren.
Handtrykket byrjar med at appen sender ein førespurnad til bankens datamaskin om å få gjere banktenester: «Hei, her er eg, eg vil gjerne gjere noko i banken.» Banken svarer med eit sertifikat: «Eg er open, og du kan sjekke at eg er banken din, ved å sjekke dette sertifikatet.» Appen din spør så sertifikatstyresmakta om dette er eit gyldig sertifikat, og det kan han sjekke ved å dekode signaturen på sertifikatet: «Ja, du har kome til rett bank.» Alt dette skjer ope, og ein datasnok kan gjerne følgje med på samtalen. Men det blir som om nokon ser deg gå inn i banken; det avslører jo ikkje noko om kva du skal gjere der.
No startar prosessen for å etablere felles nøklar for symmetrisk kryptering. Bank-appen lagar ein pre-nøkkel, eit kjempestort tilfeldig tal. Og så vert talet sendt over til banken, kryptert med den offentlege nøkkelen: «Hei, bank, du kan lage symmetrisk nøkkel med dette talet.» Det geniale er at alle som prøver, kan sjå denne meldinga, men ingen andre enn banken kan forstå ho. Så bruker begge partane denne pre-nøkkelen til å rekne ut ein felles symmetrisk nøkkel. Dei er samde om kva algoritme som skal brukast, så nøkkelen som kjem ut av algoritmen, vert den same. Voilà! Appen og banken har same hemmelege nøkkel.
No er trygg og effektiv kommunikasjon etablert, og appen og banken er ferdige med sin del av handtrykket. Først no stadfestar banken kven du er, med passord og bankID, og så kan banktransaksjonane starte. Puh! Vi skal vere glade for at vi ikkje må utføre dette manuelt kvar gong vi skal kommunisere med banken.
Det største problemet for sikker databruk er nok ikkje å etablere trygg og tillitsfull kommunikasjon med krypterte handtrykk, men heller vår eiga åtferd: Vi brukar ikkje sikre nok passord, vi legg att sensitiv informasjon på alle slags nettstader, eller vi gjev ukjende aktørar tilgang til datamaskina vår ved å opne usikre e-postvedlegg.
Bjørnar Tessem
og Lars Nyre
Det største problemet for sikker
databruk er nok vår eiga åtferd.
Fleire artiklar
Penélope Cruz i rolla som mor til Adriana eller Andrea, spelt av Luana Giuliani.
Foto: Wildside
Roma – ein lukka by
Filmmelding: Italiensk oppvekstdrama sveipt i 70-talet skildrar tronge kjønnsnormer og fridomstrong.
Studentar på Universitetsbiblioteket på Blindern i Oslo.
Foto: Håkon Mosvold Larsen / NTB
Ja til skule, nei til studentfabrikk
Diverre er samarbeidet mellom skulen og høgre utdanningsinstitusjonar ofte dårleg.
Ein soldat ber eit portrett av den drepne våpenbroren og aktivisten Pavel Petrisjenko i gravferdsseremonien hans i Kyiv 19. april. Petrisjenko døydde i kamp mot russiske okkupantar aust i Ukraina. Han er tidlegare omtalt i denne spalta fordi han arbeidde for å stogge pengespel som finansiering av det ukrainske forsvaret.
Foto: Valentyn Ogirenko / Reuters / NTB
Hagen til Kvilinskyj finst ikkje lenger
Alle historier, det gjeld òg dei som ser ut til å ha nådd slutten, har eit framhald.
Christine Hope, Thomas Bye og Gisle Børge Styve står på scenen i revyen om E16.
Foto: Andreas Roksvåg
Syltynt
E16 Dødsvegen er ei framsyning som har lite å melde – og som melder det i over halvannan time.
Eskil Skjeldal har skrive fleire bøker, både sakprosa og romanar.
Foto: Vegard Giskehaug
Der mørkeret bur
Eskil Skjeldal er ikkje redd for å gå dit det gjer mest vondt.
Papiravisa