"Bankernas kunder utan säkerhet"

ComputerSweden, December 12, 2003

Först skrev han "Applied Cryptography" som snabbt blev standardverket om kryptering. Sedan började han tvivla på att kryptering var nyckeln till data­säkerhet.

Datasäkerhet, säger Bruce Schneier, står och faller med mänskligt omdöme. I stället för att jaga efter nya krypteringsmetoder bör vi komma ihåg gamla sanningar som att ingen kedja är starkare än sin svagaste länk. Här svarar Bruce Schneier på Computer Swedens frågor om IT-säkerhet.

Vad brukar företag och myndigheter bortse från när det gäller IT-säkerhet?

- Människorna. De utgår från att säkerhet är ett tekniskt problem och tar till tekniska lösningar. Säkerhet är i själva verket ett socialt problem och det som behövs är sociala lösningar.

Vad kan datorprogram göra bättre än människor inom säkerhet? Och vad gör människor bättre än datorprogram?

- Mjukvara är bättre när hastigheten är avgörande. Människor är bättre när omdöme är avgörande. Ibland behöver man något snabbt och dumt, som när man letar efter datavirus. Ibland är det långsamt och intelligent som krävs, som vid passkontroller.

Du har sagt att man måste lära sig att tänka som en hackare när man arbetar med säkerhet. Kan du ge ett exempel på vad som händer om man inte tänker så?

- Om du inte tänker som en hackare satsar du stora pengar på att se till att ditt id-kort inte går att förfalska. Sedan glömmer du att den som lämnar ut id-kortet kan sabotera hela systemet.

Någon har sagt att ju mer förtroende som folk har för ett system, desto mer sårbart blir det. Stämmer det?

- Om folk har mer förtroende för ett system än för ett annat betyder det inte nödvändigtvis att det är mer sårbart. Sant är att konsekvenserna blir värre ifall systemet visar sig ha brister. Och om systemet ansvarar för mer värdefull information kan en angripare vara beredd att satsa mer på att knäcka säkerheten. Så ju mer förtroende vi har för ett system, desto större risker uppstår.

Är kraftfullare krypteringsalgoritmer och längre krypteringsnycklar vad vi behöver inom IT-säkerhet?

- Nej. Vi har all kryptering vi behöver. Det är den starkaste länken i säkerhetskedjan. I stället för att göra den länken ännu starkare bör vi koncentrera oss på några av de svagaste länkarna.

Vilka svaga länkar finns det?

- Den svagaste länken är gränssnittet mellan människa och maskin. Det spelar ingen roll hur bra kryptografin är ifall användaren väljer ett dåligt lösenord, skriver nyckeln på ett papper eller skriver ut det dekrypterade dokumentet och lämnar utskriften på skrivbordet.


Vad bör konsumenter och med­borgare kräva av banker och myndigheter när det gäller IT-säkerhet?

- Försök att få banken eller myndigheten att ta på sig ett ansvar. Låt dem inte lägga över ansvaret på konsumenter och medborgare. Alldeles för mycket av säkerheten har blivit den enskildes ansvar, trots att han inte har något inflytande över den.

Håller du med om att en stor del av den IT-säkerhet som kunderna erbjuds i första hand är till för att hålla företagen skadeslösa ? om något går på tok är det kundens fel, eftersom man utgår från att hon inte har skyddat sin pinkod.

- Naturligtvis. Företagen tillhandahåller säkerhet för att hantera sina egna risker, och en av riskerna är att de kan bli stämda av kunderna. Om företagen kan lägga över ansvaret på säkerheten på kunden är det problemet löst. Det faktum att kunden inte har någon verklig säkerhet är inte företagets problem.

Ska vi acceptera IT-säkerhet baserad på mjuka certifikat?

- Det hänger på risken. Folk accepterar hela tiden säkerhet utan några certifikat alls. Jag kan skicka en beställningsorder med e-post: inget certifikat, ingen pinkod, ingenting. Jag kan ringa in en inköpsorder ? ännu mindre säkerhet. Jag är säker på att det finns en plats för mjuka certifikat. Men eftersom de egentligen inte gör något för säkerheten är de troligen inget för företag och myndigheter.

Carl Ellison, numera på Microsoft, har hävdat att så kallad distribuerad auktorisering är bättre än den vanliga pki-infrastrukturen. Håller du med?

- Absolut. Men ingen autenti­sering alls är helt överlägsen båda. Det är något som jag har sagt i åratal. Det finns inget behov av pki.

Du har kritiserat de amerikanska planerna på ett nationellt id-kort. Anser du att det svenska personnumret är ett hot mot den personliga integriteten?

- Jag känner inte till det svenska systemet, men alla id-nummer som alla har, och som används flitigt, gör att olika databaser kan samköras. Detta har både fördelar och nackdelar. Som allt annat inom säkerhet är det en avvägning. Jag diskuterar detta i detalj i min senaste bok "Beyond Fear: Thinking Sensibly About Security in an Uncertain World".

Är folk för villiga att avstå från personlig integritet i utbyte mot bekvämlighet?

- Jag tycker det. Jag tycker att folk har lätt att inse fördelarna med bekvämlighet, men fördelarna med personlig integritet är mycket svårare att förstå.

Du förespråkar producent­ansvar för mjukvara som ett sätt att höja IT-säkerheten. Kommer företagen någonsin att acceptera detta självmant, eller krävs det lagstiftning?

- Jag är vetenskapsman, inte politiker. Jag vet inte om producentansvaret kommer att införas genom lagstiftning eller genom domstolsutslag. Min gissning är att det blir olika i olika länder.

När det gäller så kallade monokulturer har du sagt att säkerhetsproblemen inte skulle vara annorlunda ifall Linux eller Mac OS X dominerade i stället för Windows. Är alla operativsystem lika sårbara, eller finns det saker som kunde och borde täppas till?

- Alla operativsystem är sårbara, precis som alla datorprogram är sårbara. Som vetenskapsmän har vi inte en aning om hur man framställer säker kod. Samtidigt är det onekligen så att mjukvaruföretagen helt klart kan göra bättre ifrån sig. De skulle kunna leverera mjukvara som är säkrare, mer driftssäker och har högre kvalitet.

Dan Geer fick sparken från säkerhetsföretaget At Stake efter att ha kritiserat Microsoft i en rapport om monokulturer. Är han fortfarande med i ditt företag Counterpanes rådgivande kommitté?

- Självklart. Dessutom är jag själv fortfarande med i At Stakes rådgivande kommitté. Schh - säg inget.

Slutligen: varför heter ditt företag Counterpane?
- Det är för komplicerat att förklara.

Photo of Bruce Schneier by Per Ervland.

Schneier on Security is a personal website. Opinions expressed are not necessarily those of Co3 Systems, Inc..