Kraven på säkerhet innebär förenklat: Skydd mot intrång, äkthet, identifiering, liksom integritetsskydd av data.
- På Internet fungerar i dag säkerheten tillfredsställande. I den trådlösa världen finns det dock problem med att anpassa Internets säkerhetssystemen till de begränsningar som finns. Framför allt när det gäller bandbredd, säger Magnus Nyström, teknisk direktör på RSA Security.
Dagens WAP har stora begränsningar
Vad har då dagens WAP-plattform för begränsningar?
Magnus Nyström har gjort en studie av WAP:s säkerhetsprotokoll, WTLS. Han kom då fram till att även om WTLS är likt det motsvarande protokollet på Internet, som heter TLS/SSL, så finns det vissa avgörande skillnader.
Skillnaderna grundar sig i att man i WAP har försökt att utnyttja befintlig bandbredd effektivare än i TLS/SSL.
Dessutom kan komponenterna för identifiering, kryptering och integritetsskydd väljas separat och oberoende av varandra i WTLS. I TLS/SSL väljs däremot komponenterna från en given lista av kombinationer.
- Jag kom fram till att om man gör vissa kombinationer försvagas säkerheten markant. Något som i det här fallet innebär en risk för så kallade man-in-the-middle attacker, då en aktiv attackerare kan komma mellan dig som användare och den sajt du besöker. Därmed blir din identitet helt öppet synlig för attackeraren som sedan kan använda din identitet för eget syfte.
Efter studien har Magnus Nyström gjort ett tillägg till WAPs WTLS specifikation där han varnar för denna typ av attacker och även förklarar vilka komponenter i protokollet som man inte bör ha ihop.
Med GPRS kommer säkerheten
I och med GPRS kommer dock säkerheten bli lika omfattande för det mobila Internet som för Internet, menar både Magnus Nyström och Per Unell, VD, på Sectra Communications.
- Med GPRS är bandbredden så pass stor att man inte behöver använda ett specifikt GPRS-protokoll, som fallet är med dagens WAP. I och med att GPRS är baserat på IP-protokollet (GSM är baserat på MSISDN) kan exakt samma säkerhetsprotokoll som finns på Internet också användas för GPRS.
Ett sammanhållet system, som ständigt utvecklas av många olika parter, är oerhört mycket säkrare än att ha flera olika, säger Per Unell.
Hastigheten runt 40 kbit/s, när GPRS introduceras, är med andra ord tillräcklig för att kunna ha nog med säkerhetsnycklar och säkerhetskryptering.
SIM-kort blir "smart kort"
Standardisering är alltså det som gäller. Men även om GPRS baseras på IP saknas än så länge en viktig beståndsdel.
För även om IP-numret är en sorts personnummer går det att bluffa.
- Det finns ingen garanti för att den webbsida du läser verkligen är den sanna sidan. I samband med det finns det en bra sak med mobilt IT ur säkerhetssynvinkel, som inte finns med traditionell IT - det finns ett SIM-kort med en personlig PIN-kod. Att utveckla det kortet till ett så kallat smartcard, skulle lösa problemen med både intrång och överföring av data.
Smarta kort gör att användarens identitet kan styrkas och därigenom kan användarens behörighet också avgöras - med kortet får du en säker identifiering, säger Per Unell.
Smarta kort - ingen hit hittills
Frågan är då varför "de smarta korten" för PC inte har slagit hittills. Per Unell tror att det har med medvetenhet att göra.
- Historiskt har man drivits av uppfattningen att säkerhet inte får kosta något. Och att kortet inte slagit igenom med PC tror jag just beror på att man inte brytt sig om att etablera en standard.
Globalt samarbete
Ericsson, Nokia och Motorola, med många andra intressenter, inledde för en tid sedan ett samarbete för att arbeta fram en standard för mobil säkerhet.
- Nu håller vi på att kartlägga vilka olika tekniska säkerhetslösningar som finns. När det är klart kommer vi lägga fram ett förslag till en global standard. Om det blir i form av smartcards eller inte kan jag inte svara på än eftersom vi inte är färdiga med kartläggningen, säger Jan Ahrenbring, marknadsdirektör på Ericsson.
I slutet av året hoppas han att en säkerhetslösning ska vara framtagen.
För dig som konsument kommer samma lagar som med dagens e-handel gälla, det vill säga att du får ersättning om någon missbrukar ditt kontonummer.
