Læser advarer nu mod krypteringsprogram: Slet ikke sikkert

Det lever slet ikke op til grundlæggende krypterings-principper og er derfor ikke sikkert, lyder analysen fra en softwareudvikler, der har set nærmere på et hjemmelavet krypteringsprogram.

I sidste uge fortalte Computerworld om software-udvikleren Jan Langevad, der har udviklet sit eget krypteringsprogram i fritiden.

Programmet MyCrypt så dagens lys, fordi han var træt af den megen overvågning, der i øjeblikker finder sted på internettet.

Den historie kan du læse her: Dansk udvikler bygger krypteringsprogram: Ikke mere overvågning

Men måske går intentioner og resultater ikke hånd i hånd.

Jan Langevad betegner sit krypteringsprogram som ubrydeligt, men den konklusion anfægter en Computerworld-læser i en analyse af programmet.

Han peger på, at programmet MyCrypt langt fra er så sikkert, som opfinderen fortæller.

"Efter at have analyseret programmet via en debugger og disassembler står det lysende klart, at programmet absolut ikke er et sikkert krypteringsprogram."

"Inden for bare 255 forsøg vil enhver fil, krypteret med et kodeord i programmet, brydes" siger Computerworld-læseren Poul Wann Jensen.

Han er software-ingeniør, tidligere i Symantec, hvor han analyserede virus og malware, nu Linux-udvikler hos FXI Technologies AS.

Og Poul Wann Jensen fortsætter:

"Det er direkte skræmmende, at dette program har været annonceret, da det absolut ikke lever op til nogen som helst grundlæggende krypteringsprincipper og faktisk bruger forkerte teknikker."

Den kritik begrunder han med en analyse.

Genbrug af nøglen
Et one-time pad, som MyCrypt anvender som fundament, er en kryptografisk algoritme, hvor man har en nøgle, der er lige så lang som klarteksten i eksempelvis en mail.

På denne måde bliver hvert symbol i klarteksten krypteret med sin egen nøgle, der ikke har nogen relation til de andre.

One-time pad er derfor en 100 procent sikker krypteringsform, hvis den altså anvendes korrekt.

"Hvis man genbruger en pad, vil man kunne aflede selve krypteringsnøglen ud fra to eller flere filer, som har været genbrugt på computeren. Dette er tilfældet her, da MyCrypt.dk bruger en 0x10000 stor pad, som altid genbruges," forklarer han.

Men det er ikke det eneste problem i MyCrypt.

"MyCrypt har en bug i sin passphrase-algoritme, som betyder, den fylder et krypterings-array på 200 bytes med en bestemt byte, som går igen."

"MyCrypt.dk genbruger ikke bare sin one-time pad, den bruger også en index-multiplikator på 256, som betyder, at bare en brøkdel af one-time pad'en faktisk bruges. Derfor vil en fil på 32 megabyte eller større kunne dekrypteres af enhver angriber, da one-time pad'en genbruges på data over 16 megabyte."

I praksis medfører det, at hvis man har krypteret to eller flere filer med programmet, ved at bruge et billede eller anden information som nøglefil, vil man som angriber kunne aflede de bytes, der blev brugt som kryptering, og derfor dekryptere samtlige følgende filer krypteret med denne nøgle.

Læs også: Guide: Så nemt kommer du i gang med e-mail-kryptering

MyCrypt.DK får kritik for manglende sikkerhed,

Ligeledes peger open source-udvikleren på vigtigheden af, at kildekoden i denne type programmer er rigtig.

"Hjemmelavede krypteringsprogrammer uden åben kildekode skal man være meget varsom med. Kryptering er svært, endnu sværere at implementere og selv store krypteringspakker har haft små fejl med store konsekvenser. Jeg vil umiddelbart anbefale, at folk fortsætter med at bruge velkendte krypterings-algoritmer og -programmer," lyder vurderingen.

Er der fejl, så retter jeg dem
Jan Langevads umiddelbare reaktion på kritikken lyder således:

"Hvis der er en fejl i programmet, bliver den rettet og udkommer i en gratis version 3x. Men formålet er fortsat det samme, at enhver skal have adgang til en kryptering, der ikke kan brydes, hvilket sker via at benytte one-time pad-metoden," skriver han til Computerworld.

"Har jeg lavet en fejl, så retter jeg den selvfølgelig."

På Computerworld finder du også denne guide, der viser, hvordan du kan kryptere dine mails: Guide: Så nemt kommer du i gang med e-mail-kryptering

Har du en mening, så giv endelig lyd i debatten.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Computerworld A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital HowTo: Sikkerhedstrusler

Under corona-krisen er antallet af cybertrusler steget med 33 procent. Det er særligt phishing-angreb, som oversvømmer mange virksomheder i de her dage. Corona-virussen har skabt en ny mulighed for at lokke uopmærksomme internetbrugere til at klikke på inficerede links. Nogle virksomheder oplever at op mod halvdelen e-mails, der sendes til dem, kommer fra it-kriminelle.

19. august 2020 | Læs mere


Digital HowTo: ERP – få optimal udnyttelse af dine store mængder af værdifulde data i den digitale transformation

Få indblik i, hvordan alle virksomheder kan optimere deres kritiske processer og hvordan du realiserer det uforløste potentiale gennem denne procesoptimering. Du får indsigt i forretnings-processer, digital værdiskabelse og teknologi, der har hjulpet mange virksomheder på vej med deres digitale transformation.

20. august 2020 | Læs mere


Digital HowTo: Fremtidens It service management - optimer dit setup med de nyeste teknologier

Det er vigtigere end nogensinde at have styr på kerneopgaverne i virksomhedens it-drift. Fra monitorering af systemerne til udrulning af applikationer, håndtering af service desken og alle udfordringerne med it-sikkerheden. Kom og bliv klogere på mulighederne for automatisering og optimering med ITSM og den nyeste robotteknologi.

21. august 2020 | Læs mere






Premium
Cloud-teknologi sikrede dronningens corona-tale - men DRs CIO Mikkel Müller er slet ikke færdig med cloud endnu
Uden cloud og den rette cloud-strategi havde DR ikke haft samme muligheder eller nye digitale produkter. Det fortæller CIO Mikkel Müller til Computerworld - hvor han også uddyber hvordan han ser resten af it-landskabet bevæge sig mod cloud og hvordan udviklere efterspørger de moderne værktøjer.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Det skal dit endpoint detection and response-system kunne
EDR, eller endpoint detection and response, lovede egentlig bedre it-sikkerhed og bedre overblik. Men resultaterne er ikke helt overbevisende. I dette whitepaper kan du læse om nogle af begrundelserne for, at traditionel EDR kan drille – blandt andet et systemerne kæmper med manglende integration af data fra andre kilder. Samtidig får du i dette whitepaper en checkliste for, hvad du kan forvente at dit endpoint detection and response-system skal kunne samt en række relevante use cases.