{"id":682,"date":"2014-02-10T14:20:30","date_gmt":"2014-02-10T13:20:30","guid":{"rendered":"http:\/\/isoc.se\/blogg\/?p=682"},"modified":"2014-10-15T22:46:04","modified_gmt":"2014-10-15T21:46:04","slug":"merakrypto","status":"publish","type":"post","link":"https:\/\/isoc.se\/blogg\/merakrypto\/","title":{"rendered":"Mera Krypto: Vi m\u00e5ste st\u00e4rka n\u00e4tet!"},"content":{"rendered":"

\"MeraEn av mina personliga l\u00e4rdomar av det senaste \u00e5rets diskussion om Internet-s\u00e4kerhet \u00e4r att vi m\u00e5ste kryptera mera. Sl\u00e4ppa p\u00e5 n\u00e5gra gamla heliga kor och separara andra glorifierade n\u00f6tkreatur fr\u00e5n varandra. L\u00e5t mig beskriva hur jag t\u00e4nker!<\/em><\/strong><\/p>\n

I min v\u00e4rld har jag mumlat att om man inte kan verifiera SSL- eller TLS-servern s\u00e5 \u00e4r det ingen po\u00e4ng att kryptera. Det blir ju inte hemligt, liksom.<\/p>\n

\"\"

Olle E. Johansson<\/p><\/div>\n

Nu b\u00f6rjar jag ana att det \u00e4r att blanda begreppen – kryptering som ger konfidentialitet och autenticering som hj\u00e4lper oss att avg\u00f6ra om vi kommunicerar med r\u00e4tt tj\u00e4nst eller person. Man kan kryptera utan att autenticera. Det blir kanske inte samma niv\u00e5 av konfidentialitet, men det blir sv\u00e5rare f\u00f6r utomst\u00e5ende att l\u00e4sa trafiken. Inte om\u00f6jligt, men sv\u00e5rare och kostsammare. Vi m\u00e5ste h\u00f6ja ribban ett par steg. Datakraft blir allt billigare, s\u00e5 att kryptera mera kommer inte att p\u00e5verka CPU-anv\u00e4ndningen speciellt mycket. Att inte ens f\u00f6rs\u00f6ka kryptera \u00e4r i dagsl\u00e4get att sl\u00e4ppa allting helt fritt f\u00f6r alla.<\/p>\n

TLS och SSL – vad \u00e4r det?<\/strong><\/p>\n

TLS och SSL \u00e4r standarder f\u00f6r autenticering och kryptering av IP-kommunikation. SSL, Secure Socket Layer, utvecklades av Netscape Communication och var ett registrerat varum\u00e4rke. Standarden \u00f6verf\u00f6rdes senare till IETF och bytte namn f\u00f6r att undvika varum\u00e4rket. Det nya namnet \u00e4r TLS – Transport Layer Security. SSL version 3 och TLS version 1.0 var j\u00e4mf\u00f6rbara. Idag \u00e4r SSL v1 och v2 os\u00e4kra och ska helst inte anv\u00e4ndas.<\/p>\n

IETF tar allvarligt p\u00e5 det som h\u00e4nt – det \u00e4r en attack mot Internet!<\/h2>\n

IETF har sett allvarligt p\u00e5 alla avsl\u00f6janden om avlyssning av Internet. Man har insett hur enkelt det \u00e4r och vilka brister protokollen vi jobbar med har. Nu h\u00f6js ribban samtidigt som man s\u00e4tter in krafter p\u00e5 att utveckla nya rekommendationer, riktlinjer och regler f\u00f6r hur nya protokoll definieras. S\u00e4kerhet ska in fr\u00e5n b\u00f6rjan i designen, inte l\u00e4ggas till som en eftertanke.<\/p>\n

Det finns en ny arbetsgrupp inom IETF som heter UTA<\/a> d\u00e4r man f\u00f6rs\u00f6ker reda ut hur vi kan f\u00e5 mer krypterade sessioner i applikationslagret. Paul Hoffman, har skrivit en f\u00f6rsta version av en draft d\u00e4r han f\u00f6rs\u00f6ker reda ut begreppen och definiera ”opportonistic crypto” ur TLS-synpunkt. Det finns flera grupper som jobbar och begreppet kommer f\u00f6rmodligen manglas i ett par olika omg\u00e5ngar innan man enas, vilket dock inte hindrar att det anv\u00e4nds flitigt. Jag tycker att Pauls draft l\u00e4rde mig mycket. L\u00e4s den!<\/p>\n

https:\/\/tools.ietf.org\/html\/draft-hoffman-uta-opportunistic-tls-00<\/a><\/p>\n

I korthet s\u00e4ger han att ”opportunistic crypto” \u00e4r n\u00e4r programvaran och systemen s\u00e4tter upp TLS f\u00f6r att man kan, inte f\u00f6r att anv\u00e4ndaren kr\u00e4vt det. Om du surfar till en webb som har b\u00e5de port 80 och 443 \u00f6ppen s\u00e5 ska webbl\u00e4saren v\u00e4lja att anv\u00e4nda TLS oavsett vad URL \u00e4r. Skillnaden \u00e4r att n\u00e4r programvaran fattar beslut och s\u00e4tter upp krypto – kanske utan att kunna verifiera certifikat, s\u00e5 ska INGET l\u00e5s visas, ingen address ska visas i gr\u00f6nt och anv\u00e4ndaren ska inte f\u00e5 n\u00e5got felmeddelande om att ”Bussiga Olles billiga CA \u00e4r en ok\u00e4nd certifikatutf\u00e4rdare du inte ska lita p\u00e5”.<\/p>\n

#MeraKrypto – nu \u00e4r det dags att \u00f6ka m\u00e4ngden TLS p\u00e5 n\u00e4tet!<\/h2>\n

VI i ISOC-SE i samarbete med SNUS och andra organisationer kommer jobba mer med det h\u00e4r under resten av \u00e5ret. M\u00e5nga fr\u00e5gor uppst\u00e5r – hur kan vi m\u00e4ta framg\u00e5ng i det Svenska Internet? Mer TLS<\/a> i mailsystemen? Mer TLS p\u00e5 webben? Mer TLS i IP-telefoni – SIP? \u00a0Kan vi f\u00e5 ig\u00e5ng mer DANE<\/a> eftersom vi \u00e4r f\u00f6reg\u00e5ngare med DNSSEC<\/a>? Hj\u00e4lper verkligen mera krypto eller \u00e4r det andra l\u00f6sningar vi beh\u00f6ver? \u00c4r TLS f\u00f6r gammalt och ska helt enkelt ers\u00e4ttas? H\u00e4r finns att snacka om och det ska vi g\u00f6ra. L\u00e4ra oss mer, s\u00e5 vi kan p\u00e5verka d\u00e4r vi jobbar dagligen.<\/p>\n

Vi \u00e4r n\u00e5gra som jobbar med det h\u00e4r i IETF och kan rapportera tillbaka. Leif Johansson p\u00e5 Sunet \u00e4r co-chair f\u00f6r UTA-gruppen. Jag rotar som vanligt i SIP och WebRTC. Daniel Stenberg \u00e4r med i arbetet runt HTTP 2.0 som troligen bara kommer anv\u00e4nda TLS. Jakob Schlyter jobbar med DANE och DNSSEC. Vi \u00e4r dessutom m\u00e5nga som jobbar med Open Source och kan f\u00f6r\u00e4ndra syns\u00e4ttet. Det finns redan l\u00f6sningar f\u00f6r ”Better Than Nothing” kryptering i IPsec. Jag har redan b\u00f6rjat rota med mina kollegor som utvecklar SIP-l\u00f6sningar om hur vi kan f\u00f6r\u00e4ndra koden s\u00e5 vi alltid s\u00e4tter upp TLS d\u00e4r vi kan. SIP-protokollet till\u00e5ter det utan att vi \u00e4ndrar en enda rad i raden av RFC som beskriver IP-telefoni! Det \u00e4r bara koden som ska g\u00f6ra r\u00e4tt. SIP-telefonen Jitsi g\u00f6r det redan. Sm\u00e5 steg fram\u00e5t, men ack s\u00e5 viktiga.<\/p>\n

Sl\u00e5 p\u00e5 s\u00e4kra sessioner i dina molntj\u00e4nster!<\/h2>\n

Du kan ocks\u00e5 g\u00f6ra sm\u00e5 saker, \u00e4ven om du inte \u00e4r utvecklare. Anv\u00e4nd Facebook, Google, LInkedIN och andra tj\u00e4nster \u00f6ver TLS. I m\u00e5nga fall finns inst\u00e4llningar d\u00e4r du s\u00e4ger att du vill att alla sessioner, oavsett URL, ska anv\u00e4nda TLS. \u00a0Om tj\u00e4nsten inte st\u00f6djer TLS, s\u00e5 maila och fr\u00e5ga varf\u00f6r. Om ingen knackar p\u00e5 d\u00f6rren, s\u00e5 m\u00e4rks vi inte.<\/p>\n

Bygg in TLS i appar och molntj\u00e4nster!<\/h2>\n

Om du \u00e4r med att bygga appar f\u00f6r mobiler, s\u00e4tta upp servertj\u00e4nster eller utvecklar system – se d\u00e5 till att TLS \u00e4r med i designen fr\u00e5n b\u00f6rjan. Precis som IPv6 \u00e4r det l\u00e4ttare att ha det med i starten s\u00e5 att det blir r\u00e4tt. V\u00e4lj niv\u00e5 efter applikationens v\u00e4rde – ska certifikat valideras, ska ni ha en egen certifikattj\u00e4nst, ska ni ha s\u00e4ker identitet? Oavsett vilken niv\u00e5 av s\u00e4kerhet ni v\u00e4ljer f\u00f6r er IT-l\u00f6sning, s\u00e5 se till att alla sessioner krypteras.<\/p>\n

En enkel presentation – #MoreCrypto<\/h2>\n

Jag har satt samman en del av mina tankar i en kort presentation<\/a>. Jag g\u00e5r inte in p\u00e5 val av algoritm, serverkonfiguration eller programmerings-gr\u00e4nssnitt till OpenSSL. Det handlar mer om varf\u00f6r vi m\u00e5ste f\u00f6r\u00e4ndra v\u00e5rt syns\u00e4tt och steg vi m\u00e5ste ta tillsammans f\u00f6r att s\u00e4kra v\u00e5rt n\u00e4t.<\/p>\n

Nu k\u00f6r vi #MeraKrypto!<\/strong><\/div>\n
<\/div>\n
\/Olle E. Johansson<\/div>\n
<\/div>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

En av mina personliga l\u00e4rdomar av det senaste \u00e5rets diskussion om Internet-s\u00e4kerhet \u00e4r att vi m\u00e5ste kryptera mera. Sl\u00e4ppa p\u00e5 n\u00e5gra gamla heliga kor och separara andra glorifierade n\u00f6tkreatur fr\u00e5n varandra. L\u00e5t mig beskriva hur jag t\u00e4nker! I min v\u00e4rld … L\u00e4s mer →<\/span><\/a><\/p>\n","protected":false},"author":22,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[110,44,11,111],"class_list":["post-682","post","type-post","status-publish","format-standard","hentry","category-openinternetworking","tag-merakrypto","tag-protokoll","tag-sakerhet","tag-tls"],"_links":{"self":[{"href":"https:\/\/isoc.se\/blogg\/wp-json\/wp\/v2\/posts\/682","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/isoc.se\/blogg\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/isoc.se\/blogg\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/isoc.se\/blogg\/wp-json\/wp\/v2\/users\/22"}],"replies":[{"embeddable":true,"href":"https:\/\/isoc.se\/blogg\/wp-json\/wp\/v2\/comments?post=682"}],"version-history":[{"count":15,"href":"https:\/\/isoc.se\/blogg\/wp-json\/wp\/v2\/posts\/682\/revisions"}],"predecessor-version":[{"id":725,"href":"https:\/\/isoc.se\/blogg\/wp-json\/wp\/v2\/posts\/682\/revisions\/725"}],"wp:attachment":[{"href":"https:\/\/isoc.se\/blogg\/wp-json\/wp\/v2\/media?parent=682"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/isoc.se\/blogg\/wp-json\/wp\/v2\/categories?post=682"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/isoc.se\/blogg\/wp-json\/wp\/v2\/tags?post=682"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}