Kryptoblog

Det har dykt upp ett par artiklar om att USAs National Security Agency (NSAs webbplats) har startat ett moderniseringsprogram kallat CryptoMod. Syftet är att modernisera utrustning och användning av krypto inom civil och militär förvaltning - både i USA och inom NATO. I en intervju med Daniel G. Wolf, Information Assurance Director på NSA förklarar han moderniseringsprogrammet på följande sätt:

The Cryptographic Modernization Initiative is a Department of Defense-directed/NSA IAD-led effort to transform and modernize IA capabilities for the 21st century.

Of the 1.3 million cryptographic devices in the U.S. inventory, 73 percent will be replaced over the next 10 to 15 years by ongoing and planned C4ISR systems programs, IT modernization initiatives and advanced weapons platforms.

All command and control, communications, computer, intelligence, surveillance, reconnaissance, information technology and weapons systems that rely upon cryptography for the provision of assured confidentiality, integrity and authentication services will become a part of this long-term undertaking. The Cryptographic Modernization program is a tightly integrated partnership between the NSA, the military departments, operational commands, defense agencies, the Joint Staff, federal government entities and industry.

The program is a multi-billion dollar, multi-year undertaking that will transform cryptographic security capabilities for national security systems at all echelons and points of use. It will exploit new and emerging technologies, provide advanced enabling infrastructure capabilities, and, at the same time, modernize legacy devices that are now operationally employed.

The program also directly supports the DoD vision of the Global Information Grid. The security configuration features like I described in the scenario above enable new cryptosystems to provide secure information delivery anywhere on the global grid while using the grid itself for security configuration and provisioning—total seamless integration.

NSA har en webbplats för moderniseringsprogrammet som dock inte innehåller mycket mer information än att gruppen som ansvarar för CryptoMod gjort ett så gott arbete så här långt att de förtjänar en utmärkelse

Wikipedia har dock en webbsida om CryptoMod med lite mer detaljer. Där står bland annat att programmet omfattar Suite A, vilket innehåller NSA-utvecklade och hemliga krypton. Men programmet omfattar även Suite B, vilket inkluderar NIST-specificerade kryptografiska primitiver, exempelvis AES och SHA (bland annat SHA-256) samt varianter av Diffie-Hellman-baserade algoritmer för nyckelutbyten och signaturer.

Frågan jag ställer mig är hur programmet kommer att påverka oss här i Sverige. Både genom NIST-specificerade algoritmer som använder, men även genom förändrade krav på hur information utbyts mellan Sverige, EU, NATO och USA.

(Ok, detta handlar inte direkt om IT-säkerhet…)
I den utmärkta tidskriften Tvärsnitt hittade jag en blänkare om ett arbete inom sociologi kallat Fri och öppen programvara - en studie om de nya utopisterna:

De som utvecklar öppen källkod och delar filer på Internet utmanar synen på ägande. Sociologen Carl Göran Heidegren har studerat en rörelse vars idéer har omvälvande sprängkraft. Han säger sig ha funnit de moderna utopisterna.

Carl-Göran Heidegren har ställt frågor till medlemmar i Svenska Linuxföreningen, som samlar drygt 3000 förespråkare för öppen programvara. Studien ingår i ett större projekt om så kallade livsföringsmodeller bland unga.

Värden som frihet, frivillighet och öppenhet slog an hos Linuxanvändarna. De värdena var viktigare för dem att försvara än att ha kul. Men lika högt skattades värdet av samarbete och gemenskap. Linuxföreningens medlemmar fann en glädje i att gratis dela med sig av sina kunskaper, visar studien.

En stor del av Linuxföreningens medlemmar, i synnerhet de under 25 år, tyckte att principerna borde ligga till grund för en ny samhällsform. Här blir undersökningen särskilt intressant, menar Carl Göran Heidegren. Dragna till sin spets sätter den här sortens värderingar principer om patenträtt, copyright och ägande i gungning. Vad kan ägas, vad kan skyddas för insyn och vad ska vara tillgängligt för alla?

- Hela projektet öppnar sig mot nya utopier. Helt klart är att Linuxanvändarna ställer högre krav på transparens i samhället. De söker mer öppna former för olika verksamheter än den traditionella slutenheten som präglar vissa områden av vårt samhälle, säger Carl-Göran Heidegren.

Projektledaren för studien är alltså Carl-Göran Heidengren, docent och lektor i Sociologi vid Lunds Universitet.

Enligt en sida på institutionen för Sociologi i Lund skall det finnas ett working paper från projektet. Dock lyckas jag inte hitta det tillgängligt på nätet.

Hittar någon en länk till arbetsartikeln skulle jag uppskatta om ni skickade den. Det skulle vara intressant att få läsa vad Carl-Göran och hans grupp kommer fram till vad gäller synen på frihet, öppenhet och tillgänglighet även för information, ex Wikipedia och kopplingen till personlig integritet. (Och då fanns det en koppling till IT-säkerhet i alla fall…)

Per Ström, Integritetsombudsmannen på tankesmedjan Den Nya Välfärden publicerade för en dryg vecka sedan ännu en rapport i sin Storebror-serie. Den här gången är det RFID som behandlas i Med Storebror i byxfickan. Anders R Olsson har läst rapporten och konstaterar att:

När information om våra rörelser väl finns lagrad någonstans blir kraven på polisiärt utnyttjande snart oemotståndliga.
Nyhetsmedia frossar i de mest avskyvärda brotten, varvid den allmänna opinionen piskas upp till den grad att alla sekretessbestämmelser knäcks. Ska sekretessen få skydda mördares, våldtäktsmäns eller pedofilers identitet?

Bit för bit byggs polisstatens tekniska infrastruktur. Pär Ström är kunnig och skriver föredömligt enkelt. Av allt att döma lär varken tekniska eller juridiska knep skydda oss, i längden, mot missbruk av rfid.

Lagstiftning behövs ändå, naturligtvis. Något motstånd är bättre än inget alls, men framförallt är det allmän upplysning och offentlig debatt vi behöver.

Jag tycker att Pär Ströms rapport är värd att läsa inte minst för att den sätter perspektiv på takesmedjan Eudoxas rapport Den hänsynsfulla taggen som kom för nåot år sedan och jag bloggat om tidigare. Skillnaden mellan de hotbilder och risker med ökad RFID-användning som tankesmedjorna Den Nya Välfärden och Eudoxa målar upp kan knappast bli större.

Pär Ströms rapport finns nu även att ladda ner som podradio/ljudbok så du kan lyssna på den i hängmattan. Och för den som funderar på hur man tekniskt skall arbeta med RFID för att hantera en del av de tekniska problem som Ström pekar på rekommenderas NISTs rapport om RFID och säkerhet.

Det blev en ny IT-kommission, fast precis som Webben 2.0 är det same same but different och nu är det istället ett IT-råd med delvis nya namn. Näringsdepartementet beskriver syftet med IT-rådet på följande sätt:

Rådet skall vara ett forum för strategisk diskussion mellan regeringen och företrädare för olika samhällsområden och ge perspektiv på lokal, regional och nationell nivå, utifrån ett näringspolitiskt angreppssätt. Syftet med rådets arbete är bland annat att utbyta åsikter och dela erfarenheter, och att uppmärksamma och diskutera framtida utmaningar. Eftersom IT i stor utsträckning påverkas av den internationella utvecklingen ska detta perspektiv också uppmärksammas.

Personerna som ingår i rådet är:

• Caroline Andersson, Manager och ansvarig för affärsområde Offentlig sektor, konsultfirman BearingPoint

• Bo Dahlbom, Professor, Göteborgs universitet

• Jonas Bergqvist, Verkställande direktör, LRF-konsult

• Håkan Eriksson, Forskningschef, Ericsson

• Helena Ervenius, Ansvarig för it-frågor, Regionförbundet Kalmar

• Anne-Marie Fransson, Förbundsdirektör IT & Telekomföretagen inom Almega

• Patrik Fältström, Senior Consulting Engineer, Cisco

• Lars Hultkrantz, Professor i nationalekonomi, Örebro universitet

• Kristina Höök, Professor i människa-maskin interaktion vid Data- och Systemvetenskapliga Institutionen, Stockholms Universitet

• Maria Khorsand, Tillträdande vd och koncernchef, Sveriges Tekniska Forskningsinstitut

• Eva Lindqvist, Styrelseordförande och ledningskonsult. F.d. Senior VP, Mobile Business, TeliaSonera

• Nicklas Lundblad, Stabschef, Stockholms Handelskammare

• Ingrid Udén Mogensen, Chief Information Officer, informationssäkerhetsansvarig, Electrolux

• Ann-Marie Nilsson, Direktör Proment, f.d. vd IT-företagen

• Jan Rosén, Professor i immaterialrätt, Stockholms Universitet

• Pär Ström, Integritetsombudsman, tankesmedjan Den nya välfärden

• Roger Wallis, Professor KTH, Dept of Media Technology & Graphic Arts

• Shori Zand, Koncernchef, Storken barnmorskemottagningar

Rådets uppdrag löper fram till slutet på 2008. Den stora frågan är inte om rådet kan tillföra kompetens, utan att politiker och förvaltning tar till sig av rådets kompetens. Annars blir det mycket snack och lite verkstad.

IT-standardiseringsutredningen presenterade i går sitt betänkande. I rapporten Den osynliga infrastrukturen - om förbättrad samordning av IT-standardisering tas inte bara saker som öppna dokumentformat och öppna, fria programvaror upp, utan utredningen tar även upp IT-säkerhet. IT säkerhet var från början inte med i utredningen, men lades till i höstas av regeringen.

Eftersom jag varit med och skrivit en rapport som förespråkar öppna dokument var betänkandets betoning av nyttan och behovet av öppna format glädjande läsning. Nästa steg är remissrundor så vill man påverka är det dags. Läs igenom rapporten, tänk, tyck och kontakta minister Åsa Torstensson och ansvariga på Näringsdepartementet, den nya IT-kommissionen och din representant i Riksdagen.

Riksrevisionen har granskat Svenska myndigheters arbete med IT-säkerhet. Resultatet är inte så lysande:

Riksrevisionen bedömer att de ovan beskrivna problemen är allvarliga och
att de innebär risk för betydande negativa konsekvenser för statliga åtagan-
den som elektronisk förvaltning och nationell krishantering.

Med tanke på de senaste händelserna verkar Riksrevisionen ha rätt. Vill du veta mer kan du läsa Riksrevisionens rapport.

Nicklas Lundblad har har skrivit ett tankeväckande inlägg om avlyssning och effektivitet (mer specifikt förslaget om att tillåta FRA att avlyssna ledningsbunden trafik). Nicklas skriver:

De stora terrordåd som skett i USA. Storbrittanien, Spanien och på andra ställen har skett efter det att system för massiv avlyssning implementerats. Detta tycks inte ha lett till att dåden kunnat stoppas. Det finns ett särskilt motargument mot denna linje i argumentationen, som också tas upp i regeringens proposition, nämligen att det inte är möjligt att säga så eftersom man då ignorerar alla de gånger då dåd förhindrats och säkerhetstjänsten varit förhindrad att berätta om det.

I propositionen driver man denna linje stenhårt och skriver att det inte är möjligt att lämna ut exempel på framgångsrik avlyssning, eftersom det skulle röja information som är viktig för den nationella säkerheten. Det är ett rejält otillfredsställande argument. Borde det inte åtminstone vara möjligt att för en parlamentariskt sammansatt kommitté eller nämnd redogöra och låta denna nämnd utvärdera nyttan av avlyssningen? Och dessutom är det ju nyttan av trådlös avlyssning som avses, eftersom trådbunden kommunikation inte kunnat avlyssnas.

Nicklas skriver vidare att:

Jag inser att den sista frågan är krass, men den kan inte ignoreras. Antag att systemet stoppar ett terrordåd i Stockholm. Vad är det då, post facto, värt? Rent ekonomiskt? Att här brösta sig och säga att varje människoliv som räddas är värt allt vi kan satsa är helt enkelt inte sant - inget samhälle fungerar på det sättet, vi prioriterar alltid i så väl sjukvårds- som säkerhetsfrågor, vi gör en riskanalys och vi allokerar medel.

Hur mycket är det värt att stoppa ett terrordåd som dödar trettio människor i centrala Stockholm?

Det går att spetsa till frågan. Är det värt mer än en satsning på hjärtsjukvård som räddar trettio liv? Är det värt mer än en insats för biståndet som räddar 3000 barn i Afrika? Är en satsning på övervakningssystem överhuvudtaget ekonomiskt rationell? Det är en deldiskussion som saknats i den i och för sig viktiga debatten om FRA-förslaget och den personliga integriteten.

Att kallt räkna på kostnaden för terrorbrott låter hemskt, men som Nicklas skriver gör vi det på andra ställen - och om vi börjar göra det är vi kanske på väg bort från terror och till rationellt tänkande.

Enligt Aftonbladet har Regeringens webbplats har drabbats av en utslagningsattack. Problemet här är att det är en enda användare som begärt att få en bild levererad från webbplatsen. En användare i Skövde har begärt en iofs högupplöst bild om och om igen. Men allvarligt. Hur kan regeringens webbplats ha så dålig kapacitet att den lägger sig på rygg så enkelt? Som jag sagt tidigare - det är dags att säkra Sveriges IT-resurser.

Patrik Wallström har publicerat en rapport med lite statistik efter en vecka med Creeper. Tydligen finns det bland annat personer på myndigheter som är intresserade av Svenska bittorrents. En annan populär webbplats är Gatukonst

Patrik Wallström har tagit fram en liten webbtjänst kallad creeper som övervakar var storebror, dvs myndigheter besöker för webbplatser. Genom att använda referrer-information och jämföra detta med en lista med IP-adresser för olika myndigheter, organisationer, politiska partier etc skapas en lista över webblatser som personal på olika myndigheter besöker. Här finns listan över webbplatser som creeper har fångat upp.

Det viktiga för att få creeper att fungera är att webbplatser skickar över information till creeper. Detta sker genom att webbplatsen kompletteras med en liten bild där URL:en pekar på creeper:

Vill du hjälpa till är det bara att lägga in koden på din webbplats. Det skall bli spännande att se vilket resultat som Pawal får fram på detta sätt. Creeper visar även hur enkelt det är att bygga upp ett enkelt system för att spåra användares aktiviteter på Internet.