Bra tänkt av Helmerson. Men fel.

Erik Helmerson argumenterar i en ledare i DN för det riktiga i att Apple gör FBI till viljes i fråga om en terrorists iPhone som misstänks innehålla viktig information. Den är låst och krypterad vilket gör att FBI inte kommer åt innehållet, och önskar hjälp av Apple med att låsa upp den. Helmerson anser att Apple ska ställa upp. Det tycker även jag, men inte hur som helst.

Den springande punkten är inte om Apple ska hjälpa till med att låsa upp den aktuella telefonen. Det gör de mer än gärna. Men FBI kräver att Apple ska ge dem ett verktyg (programvara) som ger FBI möjlighet att låsa upp vilken iPhone som helst. En slags digital huvudnyckel för iOS/iPhone.

Apple vägrar. Givetvis.

Givetvis? Jo, därför att om man kan någonting om IT-säkerhet (och det gör jag ju) inser man snabbt vilken vansinnig idé det handlar om. Det skulle nämligen kompromettera varje iOS-enhet som finns. Nu och i framtiden. Konsekvenserna skulle bli långtgående och svåra att överblicka. Det skulle kunna äventyra Apples existens.

Ett problem är nämligen att det handlar om en mjukvara. Ett program/verktyg. En app. Kalla det vad du vill. Men alla programvaror har det gemensamt att de går att kopiera utan att någon vet att så har skett, och sedan knäcka i en skyddad och isolerad miljö så att man kan försäkra sig om att det inte larmar Apple eller FBI så snart det får kontakt med nätet.

När programmet väl är skrivet är varje iOS-enhet att betrakta som uppbruten.

Inte för att vi vet att någon annan lagt vantarna på programmet, utan just därför att vi inte vet att någon inte har gjort det. Och det är omöjligt att veta! Därför existerar inga sådana program. När de – förr eller senare men ofrånkomligen – hamnar i fel händer börjar de missbrukas. Av organiserad brottslighet, script kiddies, företag, statliga organisationer och allt du kan komma på. Alla du du inte vill ska kunna nå innehållet i din telefon.

”Men jag har ingenting känsligt i telefonen” tänker du säkert. Det är kanske sant. Men många har känslig data i sina telefoner även om de inte alltid vet det. Kreditkortsnummer, kontonummer, osv. Andra har dokumenterat känslig data i sina telefoner.

Våra egna politiker använder t ex iPhone eftersom den anses säker. Min arbetsgivare som också är säkerhetsklassad har iPhone som tjänstetelefon av samma anledning.

Många organisationer världen över använder iPhone eftersom den anses vara säker.

Det här hör givetvis inte till allmänbildningen för de flesta. Jobbar du inte med sådant som är säkerhetsklassat har du kanske inte en iPhone. Har du inte utbildning eller erfarenhet av IT-säkerhet är du förmodligen inte så insatt i problematiken kring känslig data. Kanske har du en iPhone från din arbetsgivare utan att du vet varför? Fråga. Det är kanske därför.

Ju känsligare data, desto svårare ska den vara att återskapa. Utan att gå för djupt i ämnet vill jag ta upp tre övergripande nivåer: Okrypterad, krypterad eller hashad.

  • Okrypterad data är läsbar utan hjälpmedel. Så gör man med data/information som inte betraktas som känslig (även om bedömningen inte nödvändigtvis är rätt).
  • Krypterad data/information måste dekrypteras för att kunna läsas. Dvs har du tillgång till de nycklar som använts för att kryptera den kan den återskapas. Som innehållet i den iPhone detta handlar om.
  • Riktigt känslig data (t ex lösenord, kreditkortsnummer, osv) kan man hasha. Hashning innebär att datan inte går att återskapa, utan man kan bara jämföra två hashar med varandra för att se om de baserar sig på samma indata.

Kryptering är aldrig helt säker eftersom informationen går att återskapa. Därför strider det mot allt vi lärt oss om kryptografi att skapa verktyg som fungerar som ”huvudnycklar” där man kan dekryptera data utan att vara behörig att göra det.

Så om vi då tänker oss scenariot att FBI får igenom sina krav och Apple skapar ett verktyg för att bryta upp iPhones som de sedan lämnar över till FBI, vad händer då?

Det första är att de förmodligen kommer meddela världen vad som har hänt. Att iOS har blivit knäckt och inte längre är säkert. Därefter skulle förmodligen många organisationer kassera sina iPhones och snabbt som attan byta ut dem mot någonting annat, eller införa dumma telefoner som bara går att ringa med.

Apple skulle i sin tur stå inför den delikata uppgiften att snabbt ta fram ett nytt operativsystem för mobila enheter som inte går att knäcka med verktyget FBI lagt vantarna på. Det är precis som om din hyresvärd eller bostadsrättsförening fått huvudnyckeln till alla lägenheter stulen. ALLA lås måste bytas omedelbart. (Och därför existerar i princip inga huvudnycklar idag, i alla fall inte hos större hyresvärdar.)

I USA går det ju dessutom att stämma i princip vem som helst för vad som helst, så Apple skulle förmodligen ha en drös med stämningar på sig. Allt från storföretag som investerat stora pengar i Apple-prylar till andra som inte längre kan använda deras produkter.

Det här ser Apple som ett domedagsscenario. Och det kan mycket väl vara just ett sådant. FBI ställer krav på Apple som gör att de kan tvingas sätta sin existens på spel.

Med det sagt skulle jag vilja be Erik Helmerson att tänka några steg längre. Det handlar inte om någonting så pass enkelt som att ge FBI tillgång till innehållet i en terrorists iPhone. Det handlar om att hindra vem som helst från att få tillgång till innehållet i varje iPhone eller iPad som existerar.

Låt Apple eller McAffee ta fram datan åt FBI. Då slipper vi öppna Pandoras ask.

Annonser

Kommentarer inaktiverade.