Hvem trenger bakdører når vi har brukere?

FBI og politi er i harnisk. President Obama har avvist kravet om obligatoriske bakdører i krypteringssystemer. «En gavepakke til pedofile og narkotika-langere» tordner FBI-direktøren. Spøker han eller mangler han kontakt med virkeligheten?

«Det skulle bare mangle» var vår første tanke da nyheten om Obamas nei kom ut. Dessuten — hva kunne han gjøre? Bare noen dager tidligere hadde han undertegnet en avtale med Kina om å ikke legge inn slike bakdører i produkter landene eksporterer til hverandre. Ingen tror avtalen endrer noe som helst, men å åpent bryte eller ignorere den umiddelbart etterpå, ville vært en brannfakkel.

Obamas ‘nei’ var ikke den eneste gode ‘privacy’-nyheten i forrige uke. En annen var Apples melding til en dommer i Brooklyn om at selskapet ikke har teknisk mulighet til å åpne iOS-brukeres krypterte data. Ikke egentlig en nyhet, siden situasjonen har vært uendret siden høsten 2014 (iOS8), men en bekreftelse.

Apples tydelige holdning og demonstrerte valg har gjort selskapet til FBIs og politiets fiende, men igjen fremstår lovens håndhevere som sutrende og virkelighetsfjerne. Realiteten er at iOS’ kryptering og tilsvarende tiltak fra andre leverandører har beskjedne konsekvenser for lovens håndhevere og andre ressurssterke aktører.

Magasinet Wired gjennomgikk virkeligheten — tallenes tale — i en artikkel nylig, og observerte blant annet at anvendelsen av kryptert kommunikasjon er minimal. I kun 0,7% (25 av 3.554) av tilfellene der FBI (2014) legalt avlyttet telefoner, var innholdet kryptert. Og i 21 av de 25 tilfellene hadde lovens håndhevere ingen problemer med å dekryptere innholdet.

Sutringen fra politi og FBI kommer i et enda pussigere lys når Wired avslører hvor ineffektive krypteringsmekanismene egentlig er. Ikke i teknisk forstand – der holder de det de lover, men i praksis. For det første benytter iOS-brukere flest Apples iCloud-tjeneste for lagring og backup. Tjenesten er automatisk og må velges bort av brukeren for å unngå at dataene havner i skyen. Når de først er der, er en rettsordre eller stevning alt som skal til for å gi myndighetene tilgang.

Skulle dataene ikke finnes i skyen, ligger de sannsynligvis på vedkommendes PC eller laptop. Der kan en dyktig spesialist hente ut en såkalt ‘pairing record’ som er nøkkelen til å tømme (egentlig ‘ta backup av’) telefonen, og vips er alt tilgjengelig.

Det tredje punktet Wired trekker frem er fingeravtrykk. Mens arrestanter og mistenkte er lovbeskyttet (i USA) mot å måtte oppgi passord, er det motsatte tilfelle for fingeravtrykk: De MÅ avgis, og loven sier ingen ting om at de ikke skal avgis på egen mobiltelefon. Dermed er telefonen åpen, sammen med dataene som måtte være lagret der og (i mange tilfeller) åpen tilgang til data lagret andre steder.

Listen fortsetter, men veiene blir mer esoteriske. Hovedpoenget er imidlertid at det skal særdeles bevisste og kyndige brukere til for å sikre dingser og data mot spesialister, enten de er på riktig eller gal side av loven. At det er mulig, er det ingen tvil om – betryggende eller frustrerende alt etter hvilken leir vi tilhører. Brukerne har et valg.

Obamas klarhet og Apples tydelighet er forfriskende – ikke minst i lys av den britiske statsministerens monumentale naivitet på samme område for et knapt år siden (se Teknologi, kryptering og naive politikere). Verden trenger mer og bedre sikkerhet, ikke det motsatte. At mekanismer kan misbrukes er like selvsagt som tyngdekraften og intet argument for å stoppe utviklingen, tvert imot. Bakdører som ikke finnes, kan ikke misbrukes – av noen.