brist

Ett mycket spännande paper trillade ner i min malkorg igår morse. Det har den något torra titeln Uncovering Spoken Phrases in Encrypted Voice over IP Conversations och handlar om hur så kallad side-channel-data (eller sidokanaldata, i försvenskningens namn) tydligen kan användas för att läsa krypterad VoIP-trafik utan att faktiskt behöva knäcka krypteringen.

Det är ju, kan vi lugnt säga, ganska oroande. Nu när jag har skummat artikeln tänkte jag att det vore fin public service att försöka blogga på någerlunda lättfattlig svenska om vad det här innebär. (Har jag fel någonstans så rätta mig gärna, jag är inte direkt matematiker eller lingvist i första hand…)

Attacken som beskrivs bygger, utan att gå in för mycket på tekniska detaljer, på en svaghet i de system som används för att förvandla talade ljud till kompakta och krypterade datapaket som snabbt och säkert kan skickas över nätet. När du för ett samtal via t.ex. Skype hackas ditt tal upp i mindre bitar (~20 millisekunder) som sedan var och en komprimeras, ungefär som när ljud från en CD förvandlas till en MP3-fil, krypteras och skickas som datapaket över nätet till den du talar med. Alla paketen är alltså krypterade, och du kan inte fånga strömmen av paket på vägen och läsa av den (såvida du inte är kinesiska regeringen och har övertygat Skype om att ge dig tillgång till krypteringsnycklarna…) Så attacken måste gå runt det, med hjälp av data från en sidokanal…

En del av problemet finns i komprimeringen, då den använder något som kallas variabel bithastighet (variable bit rate — VBR) för att göra paketen så små som de över huvud taget kan vara. Idén med variabel bithastighet är att vissa paket kan komprimeras betydligt mycket hårdare än andra, beroende på vilka fonem, talljud, de innehåller. Att alla inte komprimeras lika hårt beror på att komprimeringen är destruktiv, det vill säga tar bort element ur ljudet för att minimera storleken. Därför kan ett s komprimeras mycket hårdare än en komplicerad diftong — jämför med hur lätt det är att höra olika språkljud på ett bullrigt fik!

Den andra delen av problemet är att krypteringen bevarar storleken på paketen. Därmed kan du, trots att du inte kan läsa innehållet i de krypterade paketen veta storleken på paketet innan det krypterades, och det är den här svagheten som forskarna kommit på hur man utnyttjar. De matchar helt enkelt storleken på de krypterade paketen mot information om sannolikheten för att ett paket av en viss storlek innehåller ett visst språkljud. På så sätt kan de ta en ström av krypterade datapaket som de inte kan lyssna på och ändå lista ut vad som sägs i den, genom att rekonstruera språkljuden.

Nu ska vi kanske inte bli livrädda av det här. Det borde inte vara svårt att justera krypteringen för att dölja de ursprungliga paketens storlek, och forskarna rapporterar i artikeln endast 50% träffsäkerhet på en “phonetically rich corpus”, så hur användbar den här teknologin är i verkligheten är svårt att säga.

Men det lär oss någonting viktigt om kryptering och informationssäkerhet: en smart angripare kan använda ofantligt många andra sätt än svagheter i de chiffer vi använder för att avslöja vad vi försöker hålla dolt.