Hvem kan sikre kommunikasjonen mellom bedrifter i Norge?

I fjor høst beskrev Sikkerhetsbloggen løsningen som skal gi sikrere mobiltelefoni i offentlig forvaltning i innlegget Kryptering av mobiltelefoni.

Ill.: Colourbox.no

Ill.: Colourbox.no

Denne løsningen forvaltes av NSM og er for brukere i offentlige etater, som departementer og direktorater. Ved at NSM forvalter løsningen på tvers av ulike sektorer blir det mulig for alle å snakke med alle andre.

Men hva med alle utenfor offentlige sektor?

Det er nemlig ikke bare offentlig forvaltning som har behov for ytterligere sikring av kommunikasjonen sin enn det vanlige mobiltelefoner gir i dag.

Uten å gå inn på den tekniske løsningen som er valgt, men se på tjenesten den leverer, kryptert tale mellom to parter, er det i hovedsak to «ting» som må på plass:

  • Tjeneste for å finne hverandre og etablere samtale (typisk Session Initiation Protocol-eller «Voice over IP»-tjener)
  • Tjeneste for forvaltning (utstedelse og vedlikehold) av krypteringsnøkler

For å få to personer til å ringe kryptert mellom seg, må de være registrert og tilkoblet til samme SIP-tjener og ha utstedt nøkler fra samme nøkkeltjener. Dette er en sannhet med modifikasjoner, men hvis ikke dette er på plass, vil oppkoblingen og sikringen av samtalen bli mer omfattende.

Dette betyr at om andre ønsker å kommunisere kryptert mellom seg må de etablere disse to tjenestene.

Ill.: Colourbox.no

Ill.: Colourbox.no

Det er relativt enkelt om man kun ønsker å kommunisere kryptert innad i bedrifter. Da kan man sette opp sin egen private SIP- og nøkkeltjener, og utstede telefonnummer og nøkler til egne ansatte. Forhåpentligvis har man også god styring med hvilke mobiltelefoner (operativsystem) man har i organisasjonen, slik at man kan velge løsninger som virker med alle telefonene.

Problemet, eller utfordringen som det politisk korrekt kalles, er når man ønsker å kommunisere sikkert på tvers av organisasjoner. Allikevel er det dette man ønsker, for jo større et nettverk er og dess flere noder et nett består av, dess mer verdifullt og brukbart blir det. Men for å kommunisere på tvers av organisasjoner, må man finne løsninger som virker på tvers av ulike mobiltelefoner og teleoperatører og finne ut hvem man kan stole på for drift og forvaltning av SIP- og nøkkeltjeneren.

Det er allikevel noen lyspunkter. Ved ende-til-ende-kryptering ved hjelp av asymmetriske nøkler og krypto vil ikke de som operer SIP-tjeneren ha mulighet til å forstå innholdet av kommunikasjonen, selv om de kan se hvem som snakker sammen. I tillegg vil ikke «sertifikat»-utstederen (om nøklene er lagd på sikker måte) kunne dekryptere trafikken.

Man må altså stole på at operatørene gjør en god jobb for tilgjengelighet og sikkerhet, men man vet samtidig at informasjonen ikke kompromitteres ved bruk av gode kryptomekanismer.

Ill.: Colourbox.no

Ill.: Colourbox.no

Deretter må man velge hvilken løsning som skal benyttes. Det er etterhvert kommet flere ulike løsninger som tilbyr ulike tjenester, fra ren tale til meldinger og chat. Hvilke løsninger som kan benyttes er avhengig av hvilke mobiltelefoner som skal støttes. Som vanlig gjør variantbegrensning det enklere, men det er omtrent umulig å få en organisasjon til å bytte ut alle mobiltelefoner for å gå over til en ny plattform.

Ved bruk av standardiserte mekanismer burde det være mulig å få interoperabilitet på tvers av ulike løsninger. Dessverre er ikke markedet så modent ennå at det er lett å snakke på tvers av leverandørers løsninger, i alle fall ikke uten å gå via gateway’er som dekrypterer trafikk fra én løsning og rekrypterer trafikken til en annen løsning.

Så, avslutningsvis kan man bare stille et åpent spørsmål. Hvem kan eller bør drifte en løsning for å sikre kommunikasjonen mellom privatpersoner og bedrifter i Norge? Og, for at noen skal drifte løsningen må det jo være interessant å benytte slik tjeneste, men avsløringer de siste årene burde bekrefte behovet for å benytte kryptering.

About Lars Olaussen

Lars Olaussen er sjefingeniør i Nasjonal sikkerhetsmyndighet, avdeling for teknologi, seksjon for kryptoutvikling. Hans ansvarsområde er råd- og veiledning og krav- og tiltaksutvikling innen elektronisk identifikasjon, kryptoløsninger og nøkkelforvaltning for beskyttelse av lavgradert og annen sensitiv, men ugradert informasjon.
This entry was posted in forvaltningen, Informasjonssikkerhet, Kryptografi. Bookmark the permalink.