Kryptologi: Från antiken till modern informationssäkerhet

Redan under antiken användes enkla metoder för att dölja budskap och spår av krypterad kommunikation har hittats så långt tillbaka som i det gamla Egypten. Sedan dess har kryptologin utvecklats i takt med samhällets behov av att skydda information, från handskrivna meddelanden till dagens digitala system. Syftet för vad krypteringen ska uppnå är dock detsamma. Jens Bohlin, VD på Tutus, beskriver kryptologins grundläggande principer.

– Det är en metod för att säkra kommunikation mot avlyssning och oupptäckt modifiering. Det handlar både om att man ska kunna veta att ingen har läst det, men också att det man dekrypterar är korrekt och inte har ändrats på vägen, säger han. 

Från enkla chiffer till öppna standarder

Historiskt har kryptologin utvecklats från enkla metoder som Caesar-chiffer, där bokstäver förskjuts i alfabetet, eller metoder där man byter plats på bokstäverna. Med tiden tillkom även mekaniska lösningar för kryptering och dekryptering.

– De tidiga metoderna kan vid en första anblick se ut att vara svårknäckta, men går ofta att knäcka genom att leta efter mönster och göra enklare statistiska analyser, säger Jens.

Gemensamt för de tidiga metoderna var att skyddet till stor del byggde på att själva metoden, eller apparaten, hölls hemlig. När apparaten hamnade i fiendens händer blev hela systemet komprometterat.

I dag vilar modern kryptologi på en annan grundfilosofi. Enligt Kerckhoffs princip* ska säkerheten inte ligga i att metoden eller algoritmen är hemlig, utan i att man tillför en tillfällig extern hemlighet till systemet – en kryptonyckel. Det är alltjämt kanske den viktigaste principen inom modern kryptologi: att systemet kan granskas och utvärderas av oberoende experter och därmed ge tilltro till att det inte innehåller några svagheter eller bakdörrar. 

Detta har möjliggjort öppna och granskade standarder som kryptoalgoritmen AES (Advanced Encryption Standard), där styrkan ligger i konstruktionen och nyckelhanteringen, inte i att systemet hålls dolt.

Nycklar, slump och mänskliga faktorer

I moderna kryptosystem är det nyckellängd och slumpmässighet två helt avgörande faktorer för att ett system ska kunna anses vara säkert. Nycklarna måste vara tillräckligt långa och oförutsägbara för att det inte ska vara praktiskt möjligt att prova sig fram, ens med omfattande beräkningsresurser.

Det är också därför moderna standarder använder långa nycklar, över minst 250 bitar, vilket ger en säkerhetsmarginal långt bortom vad som är praktiskt genomförbart att angripa med brute-force, som är en metod för att knäcka kryptering genom att helt enkelt testa alla kombinationer tills det blir rätt.

En avgörande faktor för kryptologi är hur slump genereras. Eftersom datorer i grunden är deterministiska krävs externa källor till slump för att kunna generera nycklar som inte går att förutsäga.

– Klassiska datorer är inte så bra på att generera slump. De gör exakt det man har sagt åt dem att göra. För nyckelgenerering gäller det omvända, allt måste lämnas åt slumpen, säger Jens.

Samtidigt är matematiken bara en del av helheten. I praktiken sker många angrepp inte genom att algoritmer knäcks, utan genom svagheter i implementation, nyckelhantering eller mänskliga faktorer.

– Man får inte glömma bort att krypto bara är en länk i kedjan. I verkligheten är det flera faktorer, som den mänskliga faktorn, som också spelar in för att kunna skydda sin information, säger Jens.

Om Tutus 

Tutus är ett svenskt cybersäkerhetsföretag som erbjuder helhetslösningar inom informations- och nätverkssäkerhet, med särskilt fokus på kryptering och säker kommunikation. Sedan 1992 har vi utvecklat avancerade lösningar för samhällsviktiga verksamheter med höga säkerhetskrav – med produkter godkända för hantering av säkerhetsskyddsklassificerad information upp till Begränsat hemlig på nationell nivå samt EU Restricted och Nato Restricted.