Hva hvis fienden kaprer dronen?
Morgendagens kriger vil utkjempes også med selvgående systemer. Hva om en motstander får kontroll over en drone og snur den mot sine egne?
I en ny rapport fra FFI peker to forskere på hvilke farer Forsvaret står overfor, og hvordan de kan møtes.
Utfordringen kan forklares slik: Dersom betrodde livvakter får beskjed på øret om å drepe den personen de er livvakt for, vil de sannsynligvis tenke seg godt om. Ordren er så direkte i strid med oppdraget at den åpenbart må være falsk. Alarmen vil gå.
Det er fordi mennesker intuitivt er i stand til å forstå når en beskjed er selvmotsigende, eller rett og slett urimelig.
Tar kontroll i det stille
Slik er det ikke nødvendigvis med selvgående og ubemannede systemer, som en autonom drone. En slik maskin kan bli kapret.
Kapringen skjer i det stille: Fienden tar full kontroll over dronen, men ingen vet det før det er for sent. I det avgjørende øyeblikket sender sensoren beskjed om at det er fritt leide. Slik leder den egne styrker inn i et bakhold.
I en ny FFI-rapport (se under bildet) forteller forskerne Martin Strand og Jan Henrik Wiik om hvilke farer som finnes ved bruken av autonome enheter. De ser også på hva forskningen på slike systemer nå er mest opptatt av.
Stikkordet deres er kryptografi.
– Det vi vet om de ubemannede enhetene som kommer i forsvarssektoren, er at de kan utføre farlige oppdrag som mennesker ikke kan gjøre i dag. Samtidig gir de helt nye utfordringer for informasjonssikkerheten, sier Martin Strand.
Enheter må være tuklesikre
Skal en slik farkost være sikker, må noen viktige mål være oppfylt: Enheten må selv være i stand til å sikre at signalene den får kommer fra riktig avsender. Det må ikke være mulig for fienden å avlytte den.
Motstanderen må altså ikke kunne lese av informasjonen som farkosten er utstyrt med, eller data som den får oversendt. Dersom noen prøver å kapre enheten må det være mulig å oppdage at det skjer.
– Dessuten må Forsvaret ta høyde for at en fungerende enhet faller i fiendens hender. Selv om motstanderen i prinsippet kan analysere den til bunns, skal et godt system sikre at de heller ikke da får tak i avgjørende informasjon.
– Vi prøver å gjøre det med matematikk, men i tillegg må den være fysisk beskyttet mot tukling, sier Strand.
Nøkkelskifte bedre enn systemskifte
Langt viktigere er det å sikre at systemet både i og særlig rundt dronen er godt nok kryptert, men forberedt på at noen likevel kan trenge inn, påpeker han.
– Kryptologisk sett kan en motstander lese ut alle data i en enhet, og begynne å styre den uten at det oppdages. De kan få tak i nøklene i et helt nettverk. Da er det viktigere at nøklene kan skiftes enn å måtte bytte ut hele systemet. Sikkerheten må ikke avhenge av at systemet i seg selv er hemmelig.
Forskningen på sikkerhet i autonome systemer er ikke kommet langt, fastslår FFI-forskerne. Samtidig er alle klar over at dette er et svært viktig område. Algoritmer for kryptering har eksistert i mange år: Advanced Encryption Standard (AES) er den mest utbredte. Den ble standardisert i 2001, basert på en åpen konkurranse. AES brukes overalt i det sivile liv, og også militært.
Kvantedatamaskiner en utfordring
– Det vi har sett spesielt på i denne rapporten, er hvordan kryptering kan motstå kvantedatamaskiner. Poenget er at kraftigere datamaskiner kan knekke dagens krypteringsløsninger, fastslår Jan Henrik Wiik.
En kvantedatamaskin kan utføre algoritmer som vanlige datamaskiner ikke kan beregne. De mest kjente er Shors algoritme og Grovers algoritme.
– Den første algoritmen tar fullstendig knekken på mye av kryptografien som brukes på internett i dag. Grovers algoritme er ikke like ødeleggende, men gjør at nøkkellengdene må økes betraktelig for å oppnå samme sikkerhet som tidligere. I verste fall må vi bruke dobbelt så lange nøkler til de kryptosystemene som ikke allerede rammes av Shors algoritme. Derfor har kvantesikkerhet stor plass i forskningen.
Maursignaler inspirerer, men…
FFI-rapporten tar for seg foreslåtte teknologier. Mange forskere har tatt i bruk kreativiteten. Mye av innholdet her ville ha blitt sett på science fiction for bare noen tiår siden. For eksempel i avsnittet om modellering av sikkerhet. Utgangspunktet er hvordan sikkerheten i nettverket ser ut under ett.
Her viser forskerne til en studie av et tillitsbasert system, der de enkelte punktene – nodene – i nettverket beregner hvilke andre punkter det stoler på.
– I rapporten nevner vi blant annet en modell inspirert fra biologi, der «maur» legger igjen «feromoner», altså luktspor. Disse tenkte, digitale feromonene skulle gi en god vei gjennom nettverket av enheter. Dessverre var dette et av mange eksempler på noe vi ikke under noen omstendighet kan bruke, sier Martin Strand.
Ny verden gir nye ord
Strand og Wiik har lagt stor vekt på å popularisere og forklare kryptografi for vanlige lesere. Den fyldige ordlista i rapporten deres tar for seg begreper de fleste har liten kjennskap til, som chiffer, homomorfisk kryptering og hashfunksjon.
Samtidig med selve rapporten har de to forskerne og kollegene deres kartlagt sikkerhetsløsninger i produkter på markedet, og operative behov i Forsvaret.
Martin Strand oppsummerer slik:
– Forskningen på dette området er bare i startfasen. Vi i FFI kan bidra med å definere felles sikkerhetskrav for autonome enheter. Videre kan vi se på scenarioer der målet er å finne de mest effektive løsningene.
– Målet for autonome farkoster er tydelige nok: Meldingene som sendes skal være uforståelige for uvedkommende. Det skal ikke være tvil om at informasjonen som kommer inn, faktisk stammer fra det lille helikopteret dypt bak motstanderens linjer.
– Den selvstendige bilen skal ikke utføre ordre med mindre beskjeden kommer fra rett sted. Og den autonome ubåten skal ikke trenge å bruke unødvendig mye strøm og båndbredde for å overføre store meldinger til overflaten.