Na de onthullingen van Edward Snowden werd er massaal opgeroepen om meer cryptografie en nieuwe 'NSA-bestendige protocollen' te ontwikkelen, maar alleen het gebruik van cryptografie of de ontwikkeling van nieuwe encryptie-algoritmes is niet voldoende om gebruikers en gegevens te beschermen.

Dat stelt cryptografie-expert Peter Gutmann. Gutmann is onderzoeker aan de Universiteit van Auckland waar hij cryptografische systemen en toepassingen ontwerpt en analyseert. Ook schreef hij mee aan de populaire encryptiesoftware PGP versie 2 en ontwierp de Gutmann-methode voor het overschrijven van data en de cryptlib opensource security library.

Tijdens de AusCERT Conferentie in Australië gaf hij opnieuw zijn presentatie "Crypto Can't Save You" en herhaalde een uitspraak van de bekende cryptograaf Adi Shamir, ook bekend als de 'S' in RSA. Shamir had eens gezegd dat cryptografie niet gekraakt wordt, maar omzeild. Als voorbeeld hiervan wees Gutmann naar de activiteiten van de NSA, waarbij de Amerikaanse inlichtingendienst een opzettelijk verzwakt algoritme liet goedkeuren.

Voorbeelden

Het was één van de voorbeelden, want in zijn presentatie liet Gutmann 10 jaar aan voorbeelden passeren van systemen, zoals smartphones, spelcomputers en andere apparatuur, waarbij cryptografie was gebruikt om het systeem te beveiligen en uiteindelijk faalde. Niet vanwege de gebruikte cryptografie, maar vanwege de implementatie ervan. Volgens Gutmann leert de geschiedenis ons dan ook een belangrijke les.

"Namelijk dat je elk deel van het systeem moet beveiligen en niet alleen maar crypto moet toevoegen om er dan van uit te gaan dat het veilig is." Het zoeken naar nieuwe protocollen is dan ook niet de oplossing. "We hebben geen nieuwe 'NSA-bestendige protocollen' nodig. Elk goed ontworpen en juist geïmplementeerd protocol is 'NSA-bestendig'", aldus de expert in zijn presentatie.