Kan harddisk-kryptering omgås?

Absolut sikkerhed eksisterer ikke, og under de rette omstændigheder kan enhver form for kryptering knækkes eller omgås. Hvis en angriber ved hvor offeret bor og kan få fysisk adgang til vedkommendes PC, så er det utrolig svært at sikre sig. Derfor konkluderer nogle mennesker, at harddisk-kryptering ikke giver mening overfor myndigheder, som jo ved hvor man bor. Det påstås, at myndigheder kan få adgang til alt hvad man har liggende af data. Dette er ikke helt forkert, men konklusionen fortjener at få nogle ord med på vejen. Der er nemlig ting man kan gøre for at sikre sig overfor myndigheder, hvilket, som dokumenteret her og her, kan give perfekt mening, også for lovlydige borgere.

Lad os se på et tænkt eksempel. Forestil dig at myndigheder ønsker at finde ud af, hvad der ligger på din PC.

Hvad kan myndighederne så gøre?

De kan konfiskere din PC. Normalt skal de først skaffe en dommerkendelse, men de kan også vælge at gøre det efterfølgende. Den slags dommerkendelser med tilbagevirkende kraft, bliver sjældent nægtet af domstolene i Danmark. I alle tilfælde ved de formodentlig hvor du bor, og dermed hvor din PC sandsynligvis befinder sig, så de tager simpelthen ud og henter den. Typisk vil de også konfiskere alle andre former for data-bærende enheder, såsom eksterne harddiske, USB-diske m.m. Mobiltelefoner kan blive tappet for data på stedet. Dermed har de adgang til dine private data.

Hvad kan du så gøre?

Du kan kryptere din harddisk via vejledningen på denne side. Hvis myndigheder banker på din dør, behøver du bare at trække strømstikket til din PC ud af stikkontakten for at være sikret (eller hold startknappen inde nogle sekunder hvis du bruger bærbar PC). Som det udtrykkes her: “When conducting criminal investigations, if you pull the power on a drive that is whole-disk encrypted you have lost any chance of recovering that data.“.
Nu bliver det et simpelt spørgsmål om, hvorvidt de kan få fat på dit password. De kan benytte brute force angreb hvor en hurtig computer forsøger alle tænkelige passwords i håb om at finde det rigtige. Men hvis dit password er stærkt nok, så kommer de ingen vegne med den metode (som i denne sag, se også denne rapport). Dine private data er dermed sikret.

Hvad kan myndighederne så gøre?

Hvis de allerede har konfiskeret din PC, og til deres overraskelse opdaget, at du har krypteret den med et tilstrækkelig stærkt password, så kan de faktisk intet stille op med mindre du fortæller dem passwordet. Der er altid teoretiske muligheder, men i dette tilfælde er de så teoretiske, at vi i praksis kan holde dem udenfor betragtning. Men lad os forestille os, at du igennem et stykke tid er blevet overvåget. Din telefon er blevet aflyttet, og alt hvad du foretager dig ukrypteret over internettet er blevet gennemset. Hvis du på et tidspunkt har nævnt i telefonen eller via internettet, at du har krypteret din harddisk, så ved myndighederne det. Det ændrer situationen! De ved nu, at det næppe nytter noget at konfiskere din harddisk på almindelig vis. Måske stopper de her, da det nu vil være for ressourcekrævende for dem at gå videre. Men hvis de for alvor er interesseret i dine data, og da de nu ved at din harddisk er krypteret, så vil de forsøge at få fat på dit password. Først derefter vil de konfiskere din PC. Så har de passwordet til din harddisk, og dermed adgang til dine data.

Teoretisk set kan myndigheder få fat på dit password på utallige måder. Nogle metoder er simple, andre højteknologiske. De fleste af dem har dog det til fælles, at de kræver nogle specifikke omstændigheder eller forhold, som sætter begrænsninger for deres praktiske anvendelse. En del af det tekniske udstyr kan også være dyrt. Derfor er nogle metoder sandsynligvis mere udbredte i praksis end andre. En såkaldt hardware keylogger er både forholdsvis billig, og meget enkel at anvende. Jeg anser hardware keylogger-metoden for at være blandt de mest sandsynlige metoder, myndigheder kan tænkes at anvende i denne situation (forudsat du har sikret dig imod målrettede hackere), så den vil jeg tage udgangspunkt i for eksemplets skyld. Du kan læse mere om de forskellige typer hardware keyloggere her. Og du kan læse om et konkret eksempel på myndigheders brug af hardware keyloggere her.

Men husk det kun er én ud af mange andre metoder at opfange passwords med. Skulle der blive anvendt andre metoder, så er princippet dog oftest det samme. Hvis vi ser bort fra en række højteknologiske, halv-teoretiske og dyre metoder, så kræves der fysisk adgang til den pågældende PC, eller rummet umiddelbart omkring den, og passwordet skal opfanges før PC’en konfiskeres.
For at få fysisk adgang til din PC uden du opdager det, skal myndighederne finde ud af, hvornår du er væk hjemmefra. Derefter skal de have adgang til din lejlighed og dermed din PC. Og de skal helst gøre det uden du efterfølgende ved at nogen har været der. Så tilslutter de ganske enkelt keyloggeren til din PC. Det er faktisk utrolig enkelt og behøver ikke tage lang tid. Hvis det er en internt placeret keylogger, vil den ikke umiddelbart være til at se, og de fleste der alligevel ser den sidde indeni computeren, vil sandsynligvis tro den altid har været der. Fra nu af vil ALT hvad du indtaster blive opfanget og gemt i keyloggeren, inklusive passwords!
Når der er gået et passende stykke tid, og myndighederne gætter på du må have indtastet dit password, vil de komme og konfiskere harddisken. I keyloggeren ligger dit password gemt, så nu er harddisk-krypteringen ikke til nogen hjælp. Igen har de adgang til alle dine private data!

Hvad kan du så gøre?

Den egentlige udfordring ligger i, at angriberen kan få fysisk adgang til din PC, uden du opdager det. Dette er problemets kerne! Du kan gøre meget for at besværliggøre deres forsøg på, at få fat på dine data, og hvis du har krypteret harddisk, og de ikke tager højde for det ved først at få fat på passwordet, så er du sikret (forudsat igen at du har valgt et tilstrækkelig stærkt password). Men tommelfingerreglen er stadig, at hvis angriberen kan få fysisk adgang til din PC, så har du oddsene imod dig. Meget kan gøres, men det vil alt sammen være lappeløsninger, der ikke tager sig af problemets kerne.

Det du kan gøre er, at opbevare dine følsomme data på en krypteret bærbar PC som du altid har med dig. Der findes også interne hardware keyloggere til bærbare PC’er, men hvordan skal de tilslutte sådan en, uden du bemærker det, hvis du altid har din PC med dig? Det lader sig ikke umiddelbart gøre, og igen er dine data sikret.

Hvad kan myndighederne så gøre?

Der er stadig mange forskellige muligheder for at opfange dit password, selv fra en krypteret bærbar PC, men de er forholdsvis teoretiske. I en tilpas fantasifuld James Bond film skal det nok lykkes, men i virkelighedens verden er sandsynligheden for det næppe overvældende stor. Jeg vil mene myndigheder får utrolig svært ved at trænge ind på en PC, hvis den er krypteret og man har den med sig overalt. Dog er det utrolig vigtigt at sikre sig imod målrettede hackere. Det er trods alt en kendt sag at PET ikke afholder sig fra brugen af malware til at overvåge folk, og hvis de på denne måde kan hacke din PC, så spiller din harddisk-kryptering ingen rolle.


Konklusion

Hvorvidt myndigheder kan trænge ind på en given PC, afhænger af, hvor langt de er villig til at gå, og hvor langt PC’ens ejer er villig til at gå for, at forhindre det. Man kan aldrig opnå absolut sikkerhed, men med harddisk-kryptering, evt. af en bærbar PC man altid har med sig, kan man komme ganske tæt på. Spørgsmålet er kun, om det er tiden og besværet værd.