Om du ikke har hørt om Nasjonal sikkerhetsmyndighet (NSM) før så bør du bite merke i navnet deres nå: NSM utgjør Norges ekspertorgan for informasjons- og objektsikkerhet i tillegg til å være det nasjonale fagmiljøet for IKT-sikkerhet her til lands. Arbeidsoppgavene deres er landsomfattende og dekker mange bransjer, og innen internettsikkerhet kan de sies å ha vært en ekstra pådriver med oppfordring til skikkelige krypteringsrutiner hos både bedrifter og privatfolk.
OPPDATERT KL 08:35 – LES UTTALELSE NEDERST I ARTIKKELEN
Bruker foreldet krypteringsertifikat
Arbeidet deres har utvilsomt gjort norske arbeidsplasser tryggere, men det spørs om ikke NSM burde gjennomgå egne rutiner omkring nettstedbeskyttelse med kryptering som fokus: det er oppdaget at nettstedet til NSM er basert på utdatert SHA-1-kryptering som de siste par årene har fått status som usikkert i forhold til SHA-2- og SHA-3. Flere organisasjoner varslet allerede rundt tiårsskiftet at man skulle legge om fra SHA-1-krypteringen til noe sikrere, og siden 2017 har blant andre Google og Apple annonsert at deres respektive nettlesere slutter å støtte SSL-sertifikater med SHA-1-kryptering.
Nettstedet deres (NSM.STAT.NO) slår med utviklerverktøyet aktivert ut en feilmelding som påpeker at forbindelsen er hindret. Dette følger av at det brukes foreldet krypteringsalgoritme i såkalt «AES_128_CBC» med HMAC-SHA1:
Annonse
Foreldet i 2017
Fra og med Chrome 56 som lanserte i januar 2017 har Google ansett nettsider med SHA-1-løsning som usikre. Flesteparten av store norske aktører har implementert endringer i senere tid for å få bukt med denne svakheten, dette gjelder alt fra store medier til norske tilsynsorganer og ellers andre instanser med direkteforbindelse til norske myndigheter som alle har SHA-2 aktivert.
Interessant nok har NSM selv retningslinjer på kryptering, hvor de har et sett med krav til kryptografi. Datatilsynet refererer for øvrig også til NSM på dette området, med anbefaling om SHA-2 med 256-bits styrke minst. SHA-1 baseres på 160-bits, noe som i mange år har blitt ansett som en utilstrekkelig nøkkellengde.
OPPDATERT:
På spørsmål om hvorfor nettstedet deres baserer seg på en utdatert avtrykkalgoritme svarer webredaktør i NSM, Fredrik Johnsen følgende:
“Vi ble gjort oppmerksom på denne feilmeldingen i utviklerverktøyet i Chrome i slutten av forrige uke. Dette er noe vi sjekker opp, både internt, med vår leverandør av nettsiden, og DSS, som eier domenet stat.no<http://stat.no>, som NSM er en del av. Det er selvfølgelig ønskelig at vi i NSM har tjenester som er oppdaterte til enhver tid, men her har det skjedd en glipp som vi regner med å få rettet opp kjapt.”
Annonse
