Peter S. Magnusson
För 20 år sedan, en vanlig dag i maj 1975, satt Whitfield Diffie i sitt vardagsrum. Han fick en intressant idé. Samma kväll besökte han sin kollega, Martin Hellman, för att diskutera idén. Och i november året därpå publicerades resultatet. Väl medvetna om vikten av sitt arbete, inledde Diffie och Hellman artikeln med följande profetiska mening: "We stand today on the brink of a revolution in cryptography."
Det som Diffie och Hellman hade upptäckt var publika chiffer (public-key cryptography). Genombrottet hyllades som det största på århundraden och blåste liv i kryptografi-forskningen. Den hade varit ett esoteriskt område som på sin höjd berörde militären och hade legat i dvala sedan andra världskriget. Idag är vi mitt uppe i ett tyst krig mellan kryptoanarkister och hemlighetsfulla statliga myndigheter. En blodlös kamp som förs "på nätet". Långhåriga libertarianer i kiseldalen med flinka tangentbordsfingrar vinner sakta mark i ett gerillakrig som storebror staten är dömd att förlora.
Regeringar och myndigheter i allmänhet, och USAs National Security Agency (NSA) i synnerhet, har länge motarbetat spridningen av kryptoteknologi. Krypto är klassat som vapen (!), och får inte publiceras eller exporteras ur USA utan tillstånd. Länge var kalla kriget motiveringen. Idag är det andra fiender, i huvudsak drogkarteller och rasistorganisationer som staten vill kunna spionera på. Terrorattacken i Oklahoma lär bara understryka behovet av bevakning av extremister.
Men är vi villiga att acceptera denna potentiella övervakning? Idag ackumuleras en skrämmande mängd information om våra privata affärer i olika databaser. Känsliga dokument ligger kvar på hårddisken i stulna datorer. I en undersökning erkände 25 procent av tillfrågade amerikanska företag att de ibland läste anställdas e-post. Och moderna telekomsystem tillåter avlyssning med en knapptryckning.
Diffies egen ambition var att föra ut krypto till folket. Publika chiffer skulle tillåta den enskilde att skydda sina digitala dokument. Publika chiffer är basteknik för en rad aktuella tillämpningar: digitala pengar, auktorisering, säker kommunikation, digitala underskrifter och så vidare.
Grundidén är enkel och därför genialisk: att utnyttja en matematisk funktion som är lätt i en riktning men svår i den andra. Exempelvis är det enkelt att multiplicera, men betdydligt svårare att faktorisera (dvs dela upp resultatet i primtal).
Den mest populära varianten utformades av Rivest, Shamir, och Adleman och har döpts till RSA-metoden. Ett meddelande kan skrivas som ett tal, M. Man skapar det krypterade meddelandet genom att sätta in M i formeln ((M^E) mod (PQ)). P och Q är två stora primtal och E är typiskt 3. Resultatet, det krypterade meddelandet, kallar vi C. Att göra den här operationen baklänges är mycket svårt om man inte känner talet D, som av diverse talteoretiska anledningar uppfyller villkoret att (DE-1) är en multipel av ((P-1)(Q-1)). ((C^D) mod PQ) ger oss nämligen M tillbaka! Och något D lär man inte hitta utan att faktorisera just (PQ). (Obs: ovanstående små ekvationer var felaktigt typsatta i tidningen!)
Således: om jag har talen (PQ) och E så kan jag skicka ett hemligt meddelande till någon som har talen (PQ) och D. Enkelt eller hur? Bra teknologi för publika chiffer spreds 1991, när Phil Zimmermann släppte det nu ökända programmet PGP (Pretty Good Privacy). PGP använder ett schweizisk blockchiffer, IDEA, för att kryptera ett meddelande med hjälp av ett 128-bitars lösenord. Lösenordet genereras från en lösenfras som användaren anger. Själva lösenordet skyddas sedan med RSA och paketeras med det krypterade meddelandet. IDEA anses starkare än det amerikanska DES. Zimmermann ansträngde sig en hel del i utvecklingen av PGP, och det anses förtjäna sitt namn.
PGP var ursprungligen tänkt att bli kommersiell, men Zimmermann var rädd för nalkande lagstiftning och släppte därför PGP gratis på nätet. PGP blev en bomb, och spreds fort. Utsatt för repressalier, och föremål för flera processer, bidrar inte Zimmermann längre direkt till PGP, utan PGP utvecklas i huvudsak utanför USA (för att undvika "export").
Otaliga statliga miljarder har lagts på forskning inom kryptering sedan andra världskriget, men det mesta är hemligstämplat och används inte vid utformingen av de nya systemen. Därmed riskerar dessa system bli svaga - PGPs verkliga styrka är exempelvis dåligt utredd. USAs exportförbud hindrar företag som IBM, Novell, Apple, och Microsoft från att lägga till stark krypto till sina operativsystem. Produkter som påstår sig innehålla kryptering (som exempelvis Lotus Notes, WordPerfect, PKZIP, olika databaser, Unix "crypt", osv) har mycket svag kryptering. Kunderna förvillas att tro att deras information är skyddad.
Slutligen försvåras insamlandet av praktisk erfarenhet från kommersiell användning av krypto. Militären håller tyst om sina misstag, och det är först via rättsfall kring bankomater som man nyligen kunnat få en viss inblick. Och det är rolig läsning - min favorit är en engelsk bank vars bankomatkort alla hade samma kod! Detta enkla programmeringsfel tog lång tid att upptäcka eftersom bankanställda aldrig fick se kundernas koder!
På 1700-talet kunde två personer talas vid utomhus och vara helt säkra på att ingen lyssnade. Sedan dess har det ena tekniska genombrottet efter det andra komprometterat vårt privatskydd. Som Diffie uttryckte det i senatsförhör: "Utan större eftertanke har det sagts ... att kryptografi för med sig löftet om fullständigt skydd för vårt privatliv. Faktum är att den i bara mycket liten utsträckning kompenserar för ett privatliv som för alltid gått förlorat."
Peter S. Magnusson
