Har du någonsin tänkt på vad som skulle hända om du tappar bort din bärbara dator, eller om den blir stulen? Ofta rymmer hårddisken känslig information som inte bör komma i orätta händer, och i värsta fall innehåller datorn allt som behövs för att koppla upp sig till företagets nätverk.
Situationen kan dock enkelt räddas med hjälp av något av marknadens krypteringsprogram. Sådana kan automatiskt kryptera valda filer och foldrar när datorn stängs av. När datorn sedan startas upp igen sker en dekryptering av dessa filer under förutsättning att rätt lösenord anges.
Kjell Eriksson på LM Ericsson Data i Göteborg har goda erfarenheter av krypteringsprogram. - Så länge data på hårddisken är krypterad begränsas konsekvenserna vid förlust av en dator till rena återanskaffningskostnader. Vi har dessutom en policy om vilken information som får föras utanför företagets nätverk. Vi arbetar bland annat med försvarshemlig information, så vi tar inga risker, säger Kjell Eriksson. På frågan om företaget råkat ut för några incidenter, svarar Kjell Eriksson att "vi har hela tiden varit medvetna om problemet och förebyggt det, så vi är förskonade från incidenter".
Denna typ av krypteringsprogram installeras ofta som en add-in till Windows filhanterare, vilket ger ett familjärt användargränssnitt. Mappar kan markeras för automatiskt kryptering. Alla filer som sparas i sådana mappar krypteras. Man kan dra och släppa filer till mappar för automatiskt kryptering, alternativt kryptera/dekryptera valfritt objekt genom att högerklicka på det och sedan välja kommandot kryptera eller dekryptera.
Med automatiska funktioner kan man definiera en uppsättning filer eller mappar som automatiskt krypteras respektive dekrypteras varje gång datorn startas upp och stängs av. Riktigt konfidentiella filer kan utelämnas från denna procedur, och istället krypteras manuellt med specifika lösenord. Många krypteringsprogram kan som tillval spara diskutrymme genom komprimera filerna samtidigt som de krypteras.
Det gäller att välja en programvara med stark kryptering. En fråga som alltid ställs i dessa sammanhang är hur långa krypteringsnycklar som krävs för att uppnå en acceptabel säkerhet. Här gäller det att se upp så att man inte jämför äpplen med päron. Olika algoritmer har varierande karakteristik, och det är meningslöst att jämföra nyckelns längd mellan olika krypteringssystem. Exempelvis behöver normalt asymmetriska krypteringsalgoritmer betydligt längre nycklar för att nå samma säkerhetsnivå som symmetriska algoritmer. För att ge en idé om svårigheten att knäcka en symmetrisk kryptering med 56-bitars nyckel, så tar det i genomsnitt 38 år med en snabb PC. För en underrättelsetjänst med tillgång till speciella superdatorer kan koden dock knäckas på 12 sekunder.
Att göra nycklarna längre har dock sina nackdelar. Antingen blir krypteringen eller dekrypteringen (eller båda) beroende på använd metod långsam. Ett annat problem är att få människor är villiga att använda tillräckligt långa lösenord, vilket gör att man kan eliminera större delen av kombinationsmöjligheterna vid en systematisk attack.
Se upp med temporärfiler
Akilleshälen för denna typ av krypteringsprogram är temporärfiler.
Sådana skapas av de flesta applikationer under arbetets gång. Även
operativsystemet slussar temporära data fram och tillbaka mellan internminnet
och skivminnet (swapping), och vid utskrifter skapas spoolfiler. Allt detta
resulterar i att okrypterad data lämnas kvar på skivminnet, och har man riktig
otur kan själva krypteringsnyckeln swappas till skivminnet under pågående
kryptering. Även när temporärfilerna raderats ligger fullt läsbar data kvar
på skivminnets fysiska sektorer. De program som krypterar på filnivå lämnar
därför en lucka i säkerhetssystemet. En lösning är att skapa en RAM-disk
som används för temporärfiler. Ett annat alternativ är att använda program
som krypterar på sektornivå, men sådana är resurskrävande och tenderar att
bli långsamma. Man kan även tänka sig att använda program som fyller
oanvända sektorer med meningslös information (helst flera gånger) i samband
med att datorn stängs av. Detta är en obekväm lösning som kan ta flera
tiotals minuter att utföra beroende på hårddiskens storlek.
Oavsett vilken metod som används är det lätt att göra misstag i samband med konfigurering av temporärfoldrar, swapfiler, spoolfiler etc. Lite uppgivet tvingas man konstatera att hundraprocentig säkerhet aldrig går att nå.
Michael Seemann