Mestrer I den rigtige krypteringsteknologi?

”Vi har lige udbygget blockchain for at teknologien kunne blive hurtigere. Når vi skal hjælpe andre softwareudviklingshuse med sikkerheden på deres apps, spørger vi meget ind til, hvilken slags sikkerhed det er, vi skal opnå, og hvilke andre parametre, der er vigtige,” fortæller vores Head of Security Lab, PhD Gert Læssøe Mikkelsen.

”Problemet med al kryptering er jo, at der er et trade-off: Hvis du bygger en applikation uden at tænke på sikkerhed, kører den hurtigt, men hvis du sikrer den med f.eks. blockchain, multi-party computing eller homomorphic encryption, har det store konsekvenser for effektiviteten.”

”Selv hvis du bare vil gemme data på en blockchain, er det meget dyrere effektivitetsmæssigt. Derfor har vi lavet nogle tricks og modificeret en blockchain, så det alligevel kan lade sig gøre. Vi er ved at udgive en videnskabelig artikel om det, så mere hemmeligt er det ikke,” joker han.

Hvilken kryptering fungerer bedst til hvad?
”Der findes alle mulige former for kryptering, og nogle af dem er lidt hypede, f.eks. blockchain, som man har hørt om, fordi de bliver brugt i kryptovaluta. Vi oplever tit, at kunderne har en vis forkærlighed for den ene eller anden krypteringsteknologi. Ofte hænger det sammen med, hvilken teknologi de selv er mest vant til at arbejde med eller har hørt mest om.”

Men de forskellige krypteringsteknologier er nu en gang forskellige værktøjer, påpeger Gert, og hvis man selv kun ejer en hammer, er der som bekendt en tendens til at synes, at de fleste problemer ligner et søm. Han understreger derfor vigtigheden af at få analyseret sikkerhedsudfordringen grundigt, før man vælger værktøj.

Præcisering af sikkerhed og andre specs
”Hvad mener vi overhovedet, når vi siger, at noget skal være sikkert? At sende data fra en virksomhed til en anden kan vi sagtens gøre sikkert. Men må den anden virksomhed gerne se vores data? Eller skal de helst kun kunne arbejde med disse data i en krypteret form, så de kun bearbejder dem for os, men ikke ’forstår’ dem, om man så må sige?”

”Hvis de ser på vores kundedata eller andre forretningskritiske data, kan der være god ræson i ikke at lade tredjepart få fuld indsigt. Og hvis der indgår slutbrugerdata eller følsomme data, kan det endda være et lovkrav. Det er for eksempel et scenarie, hvor homomorphic encryption måske giver bedre mening at bruge end blockchain.”

”Først når vi virkelig har fået hånd om problemet, kan vi finde ud af, hvilke teknologier bedst kan indfri kravene. Hvis vi f.eks. skal bruge beregninger hvert minut, men beregningen tager timer med en bestemt teknologi, så er det nok alligevel ikke løsningen. Vi kigger på sikkerheden, men vi gør os også en lang række overvejelser om regnekraft, hastighed, risiko og så videre sammen med vores kunder.”

Gert og hans team er specialiseret i applikationssikkerhed. Hvis I har brug for sparring i forbindelse med jeres valg af krypteringsteknologier, så tag fat i Gert eller ring til vores Business Development Manager Jesper på 20 85 90 20.