Nationella säkerhetsmyndighetens program avslöjade igår (sept. 5) i tre medierapporter var kanske de viktigaste avslöjandena ännu i sommar och har djupgående konsekvenser för alla som använder Internet.

Rapporterna klargör att NSA och dess brittiska motsvarighet Government Communications Headquarters (GCHQ) har metodiskt undergrävt den stora krypteringsbaserade "nät av förtroende"som möjliggör säkra finansiella transaktioner online, kommunikation och andra känsliga överföringar.

Spionbyråernas aktiviteter har pågått i mer än ett decennium. Som en tyst men genomgripande cancer har de trängt igenom och försvagat varje hörn på Internet.

"Inte bara gör det värsta möjliga hypotetiska... verkar vara sant, "skrev Johns Hopkins kryptograf Matthew Green på sin blogg igår kväll, "men det är sant på en skala som jag inte ens kunde föreställa mig."

"De företag som bygger och hanterar vår Internetinfrastruktur, de företag som skapar och säljer oss vår hårdvara och mjukvara, eller de företag som är värd för vår data: Vi kan inte längre lita på dem, "skrev amerikansk kryptering expert-

Bruce Schneier på webbplatsen för den brittiska tidningen The Guardian.

MER: 7 sätt att låsa din integritet online

Subterfuge på något sätt som behövs

Övervakningsprogrammen, som heter "Manassas", "Bullrun" och "Edgehill" efter strider i det amerikanska och engelska inbördeskriget, byggde inte bara kraftfulla datorer för att knäcka krypteringsprotokoll.

De tvingade också teknikföretag att överlämna krypteringsnycklar, infiltrerade NSA och GCHQ personal till företag staber, bröt sig in i datorservrar från samarbetsvilliga företag för att stjäla information och såg till att vissa företag byggde "bakdörrar"in i deras teknik så att spionbyråerna alltid skulle ha tillgång.

Kanske mest allvarligt av allt förgiftade NSA och GCHQ medvetet offentligt distribuerade krypteringsstandarder, av hundratals miljoner människor över hela världen varje dag, så att standarderna skulle vara hemligt - men dödligt - bristfällig.

"Den (faktiskt betydande) goodwill som NSA byggt upp i det offentliga kryptosamhället under de senaste två decennierna utplånades idag", twittrade kryptografisexpert från University of Pennsylvania Matt Blaze.

Konsekvenserna är att spionbyråerna, om de ville, kunde komma åt nästan alla internetbaserade köp, penningöverföring, e-post, internetsamtal, snabbmeddelanden eller filöverföring från någon, var som helst.

Tidiga tips om hemlig manipulering

Programmen avslöjades av dokument som lämnades i juni till Väktaren av den tidigare NSA-entreprenören Edward Snowden, som sedan har tagit sin tillflykt i Ryssland.

Guardian, som har kommit under press från GCHQ att sluta publicera Snowden-material, delade dokumenten med The New York Times och det amerikanska ideella nätet Pro Publica.

Alla tre publikationerna publicerade samtidigt berättelser på sina webbplatser igår eftermiddag.

Medierna, som var försiktiga med att undergräva den nationella säkerheten i båda länderna, specificerade inte vilka krypteringsprotokoll som har äventyrats. (Spionbyråerna hade bett att berättelserna inte skulle publiceras alls.)

Men åtminstone en har redan identifierats: Dual Elliptic Curve Deterministic Random Bit Generator, eller Dual_EC_DRBG, ett slumpmässigt tal generator utvecklad av NSA och godkänd av den amerikanska federala regeringens National Institute of Standards and Technology (NIST) i 2007. (Slumptalsgeneratorer är väsentliga för att många krypteringsprotokoll ska fungera.)

Samma år noterade Schneier att Dual_EC_DRBG var subtilt bristfälligt på ett sätt som tillät innehavaren av en hemlig nyckel - en okänd numerisk konstant - för att helt undergräva krypteringsprotokoll baserat på Det.

"Inte bara är [Dual_EC_DRBG] en munfull att säga, det är också tre storleksordningar långsammare än sina kamrater. Det är i standarden bara för att det har kämpats av NSA, "skrev Schneier en trådbunden artikel från november 2007. "Vi har inget sätt att veta om en NSA-anställd som arbetar på egen hand kom med konstanterna - och har hemliga nummer."

Schneier, en källa för några Tom's Guide-artiklar, avslöjade igår att han har hjälpt The Guardian att analysera Snowden dokumenterar och hade för detta ändamål köpt en ny dator som "aldrig har varit ansluten till Internet."

"Det jag tog bort från att läsa Snowden-dokumenten var att om NSA vill komma in på din dator så är det inne. Period," Schneier skrev i ett yttrande publicerat på Guardians webbplats igår.

MER: 'Cryptopocalypse' nu: hotande säkerhetskris kan försvaga Internet

Hur man skyddar sig - kanske

På Guardian-webbplatsen erbjöd Schneier råd till läsare som vill hålla sina uppgifter privata: Använd den anonymiserande internettjänsten Tor, kryptera e-post och annan kommunikation och använda krypteringsprogramvara med öppen källkod istället för kommersiella krypteringsprodukter.

"Min gissning är att de flesta krypteringsprodukter från stora amerikanska företag har NSA-vänliga bakdörrar", skrev Schneier, "och många utländska gör det förmodligen också."

Men även Schneiers informerade rekommendationer kan bara vara hoppfulla gissningar. Eftersom Snowden-dokumenten inte namngav alla krypteringsprotokoll, programvaru- och teknikföretag som komprometteras av NSA och GCHQ, är det få som vet vad som är säkert och vad som inte är det.

Tor erbjuder bara delvis säkerhet, och Times berättelse antydde att Skydd för säkra socklar (SSL) säkerhetsstandard med öppen källkod, som ligger till grund för nästan alla säkra webbtransaktioner, hade äventyrats.

På samma sätt är öppen källkodsstandard för god källkod (PGP), som Schneier också rekommenderade, så gammal, så ofta används och var en gång så irriterande för den amerikanska regeringen att det skulle vara först på en lista över saker som NSA skulle göra spricka.

Men bara för att NSA och GCHQ kan titta på dig betyder det inte att de är det.

"Antag att även om din dator kan äventyras, skulle det ta arbete och risk från NSA: s sida - så är det förmodligen inte", skrev Schneier.

Om alla ser det kan ingen ljuga

Det är troligtvis en del av den nyare öppen källkodstekniken, som TLS (1.2) Webb-säkerhetsstandard (avsedd att ersätta SSL men ännu inte allmänt antagen) eller gratis RedPhone och Android-appar för Secure Text, äventyras inte. Deras kod är öppet tillgänglig för expertgranskning och revision.

Det är också troligt att teknik med slutna källor som utvecklats av stora amerikanska eller brittiska företag har äventyrats. De paranoida rants som går tillbaka till 1990-talet om NSA-bakdörrar i Microsoft-programvara eller Intel-chips är plötsligt vettiga.

Till och med berättelsen som publicerades förra månaden av den tyska tidningen Die Zeit, som misstänkte att Microsofts Trusted Computing-chips var hemliga NSA-bakdörrar, och som vi avfärdas som överdrivna, verkar inte längre orimligt.

"Jag är inte längre veven", skrev Green på sin blogg igår, med hänvisning till hans egen spekulation om NSA-aktiviteter. "Jag var inte ens tillräckligt vred."

MER: Slå FBI: Hur man skickar anonym e-post utan att bli fångad

Att undergräva din säkerhet för att hålla dig säker

NSA och GCHQ kommer att hävda att undergräva varje möjlig del av kryptering och säkerhet är nödvändig för det större goda att hålla USA och Storbritannien fria från terrorism, och att deras motståndare i Ryssland och Kina försöker göra detsamma sak. (Vissa underrättelseexperter tror att Snowden har varit en rysk agent hela tiden.)

"Genom historien har nationer använt kryptering för att skydda sina hemligheter, och idag har terrorister, cyberbrottslingar, människohandlare och andra använder också kod för att dölja sin verksamhet, "sade kontoret för direktören för nationell underrättelse, James Clapper, i ett uttalande idag (Sept. 6) och publiceras på Pro Publicas webbplats. ”Vår underrättelsetjänst skulle inte göra sitt jobb om vi inte försökte motverka det.... Det faktum att NSA: s uppdrag inkluderar att dechiffrera krypterad kommunikation är ingen hemlighet och är inte nyhet. "

"Berättelserna som publicerades igår avslöjar dock specifika och sekretessbelagda detaljer om hur vi bedriver denna kritiska underrättelseverksamhet", säger uttalandet. "Allt som gårdagens avslöjanden lägger till den pågående offentliga debatten uppvägs av den färdplan som de ger våra motståndare om de specifika teknikerna vi använder för att försöka avlyssna deras kommunikation i våra försök att hålla Amerika och våra allierade säkra och att förse våra ledare med den information de behöver för att göra svår och kritisk nationell säkerhet beslut. "

Men säkerhetsskadorna från dessa program kan vara värre än en terroristattack. Från och med nu kommer misstankar att kastas mot alla produkter från stora amerikanska teknikföretag - nyckelaktörerna i en industrisektor där USA försöker behålla dominans.

Varför ska konsumenter, företag eller utländska myndigheter litar på programvara från Microsoft eller McAfee, hårdvara från Intel eller Cisco eller något från Apple? Varför köpa amerikansk när billigare kinesiska produkter inte är mindre säkra?

Ett uttalande från Ladar Levison, grundare av den lilla säkra e-postleverantören för en månad sedan Lavabit, som stängs av som svar på regeringens tryck, har ännu mer resonans idag.

"Jag rekommenderar starkt att alla litar på sina privata uppgifter till ett företag med fysiska band till USA," Levison sa i en anteckning förklarar stängningen av Lavabit.

Följ oss @tomsguide, på Facebook och igen Google+.

  • 13 Tips för säkerhet och integritet för den riktigt paranoida
  • 9 Säkerhetstips online från en tidigare Scotland Yard Detective
  • 10 bästa programvaruprodukter för e-kryptering