Kryptering av «militærkvalitet»: Hva betyr det egentlig?
Mange firmaer reklamerer med «kryptering av militærkvalitet» for å sikre dine data. Hvis det er godt nok for forsvaret, må det jo være det beste, ikke sant? Vel, det er litt mer komplisert enn som så. «Kryptering av militærkvalitet» er først og fremst et markedsføringsuttrykk uten en konkret definisjon.
Grunnprinsippene for kryptering
La oss starte med det mest grunnleggende. Kryptering handler om å omforme informasjon slik at den fremstår som uleselig. Denne krypterte informasjonen kan deretter gjøres lesbar igjen, men kun hvis du vet hvordan. Metoden for kryptering og dekryptering kalles en «chiffer», og den er som regel avhengig av en «nøkkel».
Når du for eksempel besøker en nettside med HTTPS og logger inn med passord eller oppgir kortinformasjon, sendes dine sensitive data kryptert over internett. Kun din datamaskin og nettsiden du kommuniserer med kan forstå informasjonen, noe som forhindrer uvedkommende fra å få tak i passordet eller kredittkortnummeret ditt. Når forbindelsen er etablert, gjennomfører nettleseren og nettsiden en «håndtrykk»-prosess og utveksler hemmeligheter som brukes til å kryptere og dekryptere dataene.
Det finnes en rekke ulike krypteringsalgoritmer, hvor noen er sikrere og vanskeligere å bryte enn andre.
Markedsføringstriks: Standard kryptering får nytt navn
Enten det gjelder nettbank, bruk av VPN, kryptering av filer på harddisken eller lagring av passord i et sikkert hvelv, ønsker du selvsagt en solid kryptering som er vanskelig å knekke. Mange tjenester bruker derfor uttrykket «kryptering av militærkvalitet» i reklame for å gi deg en følelse av trygghet.
Dette gir inntrykk av å være robust og testet i praksis, men militæret har faktisk ikke en egen definisjon for «kryptering av militærkvalitet». Det er et uttrykk skapt av markedsførere. Ved å markedsføre kryptering som «militærklasse», antyder selskaper egentlig bare at «militæret bruker dette i enkelte sammenhenger.»
Hva betyr «kryptering av militærkvalitet» i praksis?
Dashlane, en passordbehandler som har reklamert med «kryptering av militærkvalitet», forklarer på sin blogg hva dette begrepet innebærer. Ifølge Dashlane refererer «kryptering av militærkvalitet» til AES-256-kryptering. Dette er Advanced Encryption Standard med en 256-bits nøkkel.
Som Dashlane påpeker, er AES-256 «den første offentlig tilgjengelige og åpne chiffer som er godkjent av National Security Agency (NSA) for å beskytte informasjon på «Top Secret»-nivå.»
AES-256 skiller seg fra AES-128 og AES-192 ved å ha en større nøkkel. Dette krever litt mer datakraft for å utføre kryptering og dekryptering, men det ekstra arbeidet gjør også AES-256 vanskeligere å bryte.
«Kryptering på banknivå» er det samme
«Kryptering på banknivå» er et annet uttrykk som ofte brukes i markedsføring, og som i bunn og grunn betyr det samme: AES-256 eller muligens AES-128, som er de mest brukte blant banker. Noen banker reklamerer til og med med «kryptering av militærkvalitet».
Dette er en utbredt og anerkjent krypteringsmetode som ofte anses som det beste og sikreste alternativet. Timothy Quinn påpeker at både «kryptering av militærkvalitet» og «kryptering på banknivå» egentlig bare burde kalles «industristandard kryptering».
AES-256 er bra, men AES-128 er også solid
AES-256 brukes i stor grad av mange tjenester og programvarer. Det er faktisk sannsynlig at du benytter deg av denne «militære krypteringen» daglig, uten å være klar over det. De fleste tjenester bruker ikke engang uttrykket «kryptering av militærkvalitet».
Moderne nettlesere støtter for eksempel AES-256 når du kommuniserer med sikre HTTPS-nettsider. Selv Internet Explorer har støtte for AES-256 siden versjon 8. Chrome, Firefox og Safari støtter det selvfølgelig også. Du kobler deg sannsynligvis til mange nettsider som bruker «militær kryptering» uten å være klar over det.
Windows» innebygde BitLocker-kryptering bruker AES-128 som standard, men kan konfigureres til å bruke AES-256. Det er ikke «militærklasse» som standard, men AES-128 skal likevel være svært sikker og motstandsdyktig mot angrep – og det kan være militærklasse om ønskelig.
Passordbehandleren 1Password gikk tilbake til AES-256 fra AES-128 i 2013. Jeffrey Goldberg fra 1Password forklarte begrunnelsen på den tiden. Han hevdet at AES-128 i utgangspunktet var like sikker, men mange følte seg tryggere med det større antallet og «militære krypteringen».
Uansett om du benytter deg av AES-256, AES-128 eller AES-192, har du en ganske sikker kryptering. En kan bli markedsført som «militærklasse» – som egentlig er et oppdiktet begrep – men det spiller ikke så stor rolle.
Kryptering som våpen
Det er et siste interessant poeng her. Hvis du lurer på hvorfor kryptering er så tett knyttet til militæret, er det viktig å vite at denne forbindelsen er svakere i dag enn noen gang før.
Kryptografi har lenge vært en viktig del av krigføring. Det er en måte militæret sikkert kan kommunisere på uten at fienden får tilgang til meldingene. Selv om fienden fanger opp meldingen, må den også dekryptere den, noe som gir en fordel. De gamle romerne brukte chiffer for å skjule meldinger for to tusen år siden, under Julius Cæsar. Under andre verdenskrig benyttet Nazi-Tyskland Enigma-maskinen for å kode sine meldinger. Dette ble kjent for Storbritannia og dets allierte, som brukte informasjonen fra de krypterte meldingene for å vinne krigen.
Det er derfor ikke overraskende at mange regjeringer har regulert kryptografi – spesielt eksporten til andre land. Fram til 1992 var kryptografi på USAs ammunisjonsliste som et «militært hjelpemiddel». Man kunne utvikle og eie krypteringsteknologi i USA, men ikke eksportere den. Nettleseren Netscape hadde en gang to versjoner: En amerikansk utgave med 128-bits kryptering og en «internasjonal» versjon med 40-bits kryptering (maksimum tillatt).
Regelverket ble endret på midten av 90-tallet for å gjøre det enklere å eksportere krypteringsteknologi fra USA.
Kryptering har lenge vært forbundet med militæret, så det er ikke overraskende at uttrykket «kryptering av militærkvalitet» fortsatt appellerer til folk. Det kan være en grunn til at markedsføringskampanjer fortsetter å bruke det.