Kryptering af e-mail er en overset disciplin i erhvervslivet, selvom der er mange gode argumenter for at gemme indholdet af e-mail bag en krypteringsalgoritme.
Indhold i mail bør i langt højere grad krypteres både i forhold til medarbejder, konkurrenter og udefrakommende trusler, lyder det fra to sikkerhedseksperter.
"En ukrypteret mail kan sammenlignes med et postkort," fortæller Carsten Jørgensen, sikkerhedskonsulent i Devoteam.
"Indholdet er synligt for alle, der kigger på postkortet, og det er der mange, som har mulighed for, både indenfor og udenfor en virksomheds mure. Det er kun ganske få af de virksomheder, jeg besøger, som anvender mail-kryptering. I langt de fleste firmaer er man slet ikke opmærksom på sikkerhedsproblematikken."
"Lidt populært sagt, kan man skrive det samme i en mail, som man vil snakke om i en taxi," siger Carsten Jørgensen.
E-mail sendes som åben trafik, hvilket betyder, at man uden problemer kan tage en kopi af indholdet, fortæller han.
En mail er ikke privat
Ivan Bjerre Damgård, der er professor i kryptering og it-sikkerhed ved Aarhus Universitet, vurderer ligeledes, at mange ikke bekymrer sig om de åbne beskeder.
"Langt de fleste anser en e-mail for en privat ting, og i de fleste tilfælde er det da også sådan, at dem man ikke vil have til at læse mailen, heller ikke har teknisk forstand til at få fingrene i indholdet," siger han.
"Men hvis der kan gå jura eller penge i det, så bør man anvende kryptering. Krypterer man sine beskeder, er man sikker på, at oplysningerne ikke falder i forkerte hænder. I erhvervslivet kan man således forestille sig mange situationer, hvor kryptering har en berettigelse," vurderer Ivan Bjerre Damgård.
Samtidig møder sikkerhedseksperterne en sondring mellem interne og eksterne mails i erhvervslivet.
"Det kan faktisk være en god idé at sende krypterede mail internt, da disse kan indeholde flere følsomme oplysninger om virksomheden og dens medarbejdere end mail ud af huset," siger Carsten Jørgensen.
"Samtidig ville man eliminere den mistanke, der ofte falder på it-afdelingrns medarbejdere, hvis oplysninger siver," siger han.
Kryptering er bøvlet
Begrundelsen for at erhvervslivet ikke krypterer er, at det er for besværligt, lyder det samstemmende fra de to sikkerhedseksperter.
"Kryptering af mail kræver en installationsfase, og man skal sætte sin mail-klient op til at kunne håndtere de rigtige certifikater og nøgler. Det betyder, at mange springer fra. Folk opfatter det simpelthen som for besværligt," forklarer Ivan Bjerre Damgård.
"Kryptering har kun vundet indpas blandt en lille gruppe med teknisk kunnen, og så er nogen begyndt at anvende den digitale signatur til at kryptere, men det er stadig et fåtal," fortæller han.
Vi mangler en standard
Krypteringen er dog et af de elementer, der er på vej ind i mail-klienterne, men den evindelige standard-diskussion trænger sig også på i krypteringsdebatten.
"Vi skal have fundet en fælles standard, der gør krypteringen enkel. Man kan sammenligne det med kryptering på nettet, som i dag understøttes af alle browsere. Lidt firkantet kan man sige, at vi har brug for en slags SSL-kryptering til mail-programmet," lyder det fra krypteringsprofessoren.
Carsten Jørgensen kan nikke genkende til standard-problematikken.
"Den kryptering, vi har i dag, er ikke baseret på en fælles standard, den kræver installation og udveksling af nøgler. Den er ikke transparent for brugerne, og så er det svært at få succes."
"Hvis det blev enklere at kryptere mail, ville folk helt sikkert bruge teknologien," vurderer han
Gratis kryptering
Der findes flere applikationer, der kan anvendes til kryptering af mail-trafik, både i form af gratis værktøjer, eksempel Pretty Good Privacy (PGP), og betalingsløsninger. Nogle web-tjenester tilbyder desuden mulighed for at sende mails, der er krypterede.
Det kræver noget fodarbejde, at få krypteringen på plads i it-infrastrukturen, men når det er gjort, er det ikke mere besværligt at sende en krypteret mail.
"Der er en installationsdel, der skal kombineres med uddannelse og træning af brugerne, men herefter er der ikke forskel på at sende krypteret eller ej," siger Carsten Jørgensen.
Krypteringen foregår ved, at man anvender en privat og en offentlig krypteringsnøgle.
Den e-mail, man sender, krypteres med modtagerens offentlige nøgle, som modtageren har gjort tilgængelig for alle. Modtageren bruger så sin private nøgle, som kun kan anvendes af modtageren, til at dekryptere e-mailen.
Ud over krypteringen af selve indholdet, signerer man sin e-mail, så modtageren ved, at den rent kommer fra den rigtige afsender.
