Många företag framhåller ”kryptering av militär standard” som ett skydd för din data. Det antyds att om det duger för militären, borde det vara det bästa, eller hur? Nja, inte riktigt. ”Kryptering av militär standard” är i grunden en marknadsföringsfras utan någon strikt definition.
Grundläggande om kryptering
Låt oss gå igenom grunderna. Kryptering handlar om att göra information oläslig, så att den ser ut som en slumpmässig samling tecken. Denna krypterade information kan sedan ”avkrypteras”, men bara om du har rätt metod. Metoden för att kryptera och avkryptera kallas ”chiffer” och bygger ofta på en specifik ”nyckel”.
Till exempel, när du besöker en webbplats med HTTPS-kryptering och loggar in eller anger kortuppgifter, skickas dina privata data i krypterad form över internet. Endast din dator och webbplatsen du kommunicerar med kan tolka den, vilket förhindrar att någon utomstående snappar upp ditt lösenord eller kortnummer. Vid anslutningen utbyter din webbläsare och webbplatsen hemligheter som används för att kryptera och avkryptera datatrafiken.
Det finns många olika krypteringsalgoritmer, och vissa är säkrare och svårare att bryta än andra.
Marknadsföring kring standardkryptering
Oavsett om det handlar om internetbanken, ett virtuellt privat nätverk (VPN), krypterade filer på din hårddisk eller lösenord i ett lösenordsvalv, vill du ha en stark kryptering som är svår att knäcka.
För att skapa en känsla av säkerhet marknadsför många tjänster ”kryptering av militär standard” i sin reklam och på sina webbplatser.
Det låter robust och beprövat, men faktum är att det inte finns någon officiell militär definition av ”kryptering av militär standard”. Det är en fras som marknadsförare har hittat på. Genom att använda ”militär standard” antyder företagen bara att ”militären använder det här till viss del”.
Vad innebär ”kryptering av militär standard”?
Dashlane, en lösenordshanterare som har marknadsfört sin ”kryptering av militär standard”, förklarar på sin blogg vad det innebär. Enligt Dashlane betyder ”kryptering av militär standard” AES-256-kryptering. Det står för Advanced Encryption Standard med en 256-bitars nyckel.
Som Dashlane påpekar, är AES-256 ”det första offentliga och öppna chiffer som godkänts av National Security Agency (NSA) för att skydda information på högsta sekretessnivå”.
AES-256 skiljer sig från AES-128 och AES-192 genom en större nyckelstorlek. Detta kräver något mer datorkraft för kryptering och avkryptering, men anses göra AES-256 ännu svårare att knäcka.
”Bankkryptering” är i princip samma sak
Termen ”bankkryptering” är också vanlig i marknadsföringssammanhang. I grunden syftar det på samma sak: AES-256 eller kanske AES-128, eftersom många banker använder dessa algoritmer. Vissa banker marknadsför till och med sin ”kryptering av militär standard”.
Det är en bra och allmänt använd kryptering, ofta betraktad som det bästa och säkraste alternativet. Timothy Quinn påpekar att både ”kryptering av militär standard” och ”bankkryptering” bara bör kallas för ”kryptering enligt industristandard”.
AES-256 är starkt, men AES-128 är också bra
AES-256 är en standard som många tjänster och program använder. Förmodligen använder du denna ”kryptering av militär standard” ständigt utan att veta om det. Många tjänster kallar den inte ens för ”kryptering av militär standard”.
Till exempel stödjer moderna webbläsare AES-256 när du kommunicerar med säkra HTTPS-webbplatser. Här är ”moderna” ett brett begrepp – även Internet Explorer fick stöd för AES-256 med Internet Explorer 8 för Windows Vista. Chrome, Firefox och Safari har självklart också stöd. Du kommunicerar med många webbplatser som använder ”kryptering av militär standard” utan att veta det.
Windows inbyggda BitLocker-kryptering använder AES-128 som standard men kan konfigureras att använda AES-256. Det är alltså inte ”militär standard” som standard, men AES-128 bör vara mycket säker och svår att attackera – och den kan i princip vara ”militär standard”.
Lösenordshanteraren 1Password gick tillbaka till AES-256 från AES-128 redan 2013. 1Passwords Jeffrey Goldberg förklarade företagets motivering. Han menade att AES-128 var i princip lika säkert, men många kände sig tryggare med det högre talet och tanken på ”kryptering av militär standard”.
I slutändan spelar det ingen stor roll om du använder AES-256, AES-128 eller AES-192, du har en ganska säker kryptering. Den ena kan kallas ”militär standard” – vilket mest är en påhittad term – men det har egentligen ingen större betydelse.
Kryptering som vapen
En sista intressant aspekt: Om du undrar varför kryptering har så stark koppling till militären, så är det faktiskt mindre kopplat än tidigare.
Kryptografi har länge varit en viktig del i krigföring. Det är ett sätt för militären att skicka meddelanden säkert utan att fienden kan avlyssna och läsa dem. Även om fienden får tag på meddelandet, behöver de kunna dekryptera det för att kunna använda informationen. Redan de gamla romarna använde chiffer under Julius Caesar. Under andra världskriget använde Nazityskland Enigma-maskinen för att kryptera sina meddelanden, vilket britterna och deras allierade lyckades knäcka och använda den informationen för att bidra till att vinna kriget.
Det är därför inte konstigt att många regeringar har reglerat kryptografi – särskilt export till andra länder. Fram till 1992 klassades kryptografi som ”militär utrustning” på USA:s lista över ammunition. Det var tillåtet att utveckla och inneha krypteringsteknik i USA, men inte att exportera den. Webbläsaren Netscape hade till exempel två versioner: en amerikansk version med 128-bitars kryptering och en ”internationell” version med 40-bitars kryptering (det maximalt tillåtna).
Reglerna ändrades under mitten av 90-talet för att underlätta export av krypteringsteknik från USA.
Kryptering har länge haft en koppling till militären, så det är inte förvånande att termen ”kryptering av militär standard” har en viss klang. Det kan vara en förklaring till att den fortfarande används i marknadsföring.