Side 2 af 6 Fortsat fra: Guide: Så nemt kommer du i gang med e-mail-kryptering

Sådan fungerer PGP

Krypteringsstandarden PGP blev oprindeligt udformet af krypto-pioneren Phil Zimmermann i 1991, og den er i sin tekniske struktur udarbejdet sådan, at du som slutbruger selv er i fuldstændig kontrol over din egen sikkerhed.

I al sin enkelhed benyttes PGP til at kryptere din rene tekst til (for os mennesker) uforståeligt og sikkert indhold.

"Din krypterede PGP e-mail indeholder matematik, som PGP-programmerne kan bruge til at verificere, at mailen er blevet sendt fra den rigtige person. Det er det helt overordnede formål med krypteringen," fortæller Henrik Kramhøj.

PGP kræver ekstra programmer
Det kræver dog lidt teknisk snilde og arbejde fra forbrugerens side at få de krypterede e-mails til at fungere.

"Man skal have et mail-program, der forstår PGP, og det forstår de fleste programmer i dag ikke fra fabrikken af, men her findes der en masse nemme og enkle plugins til de mest gængse e-mail-programmer, som kan aktivere PGP," siger han.

På de følgende sider kan du læse, hvilke PGP-programmer du kan bruge til PGP-opsætning med Microsoft Outlook 2013, Mozilla Thunderbird, Apple Mail og Gmail.

Hjørnestenen i PGP-kryptering: Krypteringsnøglerne
For at forstå funktionaliteten bag PGP-krypteringen er det vigtigt at bide mærke i to særlige krypteringsnøgler, som både bruges til at kryptere selve indholdet af din e-mail, men også til at verificere, at dine mail-kontakter også er, hvem de udgiver sig for at være.

Begge nøgler genereres af slutbrugeren, når PGP opsættes til e-mail-klienten. Den ene af de nøgler er en offentlig nøgle, public key, som skal bruges af din kontaktpersoner, når rette vedkommende skal lave en krypteret e-mail til dig.

"Den offentlige nøgle kan man vidt og bredt udbrede, og alle, der har din offentlige nøgle, kan sende krypterede e-mails til dig," fortæller Henrik Kramshøj.

Den anden nøgle er straks mere hemmelig. Her er der tale om den såkaldte private nøgle, private key, som du bruger til at afkode den krypterede e-mail, så den bliver læselig for almindelige mennesker.

Modsat den offentlige nøgle er den private nøgle hemmelig og skal ikke falde i hænderne på andre. 

Alle, der kender din private nøgle, kan nemlig afkode krypterede e-mails, som er blevet afsendt til dig.

"På den måde kan man skabe fortrolighed og kommunikere sikkert til rette vedkommende person," siger Henrik Kramshøj.

Sådan sender du en krypteret e-mail
For at sende krypterede e-mails frem og tilbage mellem afsender og modtager, kræver det, at begge parter kender hinandens offentlige nøgler.

Udveksling af de offentlige nøgler kan foregå manuelt ved at sende dem til hinanden, men udvekslingen kan i dag også foregå helt automatisk gennem PGP-programmerne, der installeres sammen med din e-mail-klient.

"Visse PGP-klienter har gjort det hele lidt nemmere ved at lave nogle netværk af nøgle-servere, hvor du kan uploade din offentlige nøgle, så PGP-programmerne automatisk kan hente nøglen ned, når du vil kommunikere krypteret med en ny person," fortæller Henrik Kramshøj og fortsætter:

"Lægger du din nøgle op der og knytter nøglen til din e-mail-adresse, kan andre nemt finde din nøgle uden at surfe rundt på nettet efter den eller få den udleveret af dig manuelt."

Her skal du være opmærksom
Selv om automatiseringen og synkroniseringen af offentlige nøgler gør udvekslingen nemmere, er der én enkelt faldgrube, du skal være opmærksom på.

"Når du downloader en tilfældig offentlig nøgle, som er tilknyttet en person, du vil sende en krypteret e-mail til, fra nøgleserveren, kan det i princippet være en helt anden person, som har lagt nøglen op på serveren. Derfor bør man altid verificere, at den nøgle, man downloader, virkelig tilhører den person, man vil kommunikere med," mener Henrik Kramshøj.

For at verificere nøglen har du flere forskellige muligheder.

"Du kan verificere nøglen med det fingeraftryk den har, fingerprint, som du kan få fra personen, der har nøglen, eller ved at se på den signatur, nøglen er afsendt med. Der kan være andre, som du allerede kender, der har skrevet under på, at nøglen rent faktisk tilhører den person, du ønsker at kommunikere med. Dette kaldes Web of trust," siger Henrik Kramshøj.

Ingen kan garantere 100 procent sikkerhed
PGP-krypteringen gør det naturligvis svært for udefrakommende at aflure dine beskeder, men sommerens efterretningsafsløringer viser samtidig, at der ikke findes garantier for, at selv dine krypterede e-mails ikke kan aflures.

I efteråret blev det afdækket af flere medier, at den amerikanske efterretningstjeneste, NSA, har allieret sig med kommercielle krypterings-tjenester, som giver NSA mulighed for at dekryptere beskeder gennem bagdøre. Det kan du læse mere om her.

Guiderne i denne artikel er baseret på det frie og uafhængige OpenPGP, der er udgivet som open source, som NSA, så vidt vides, endnu ikke kan dekryptere.

Artiklen fortsætter på næste side...


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




Premium
Cloud-teknologi sikrede dronningens corona-tale - men DRs CIO Mikkel Müller er slet ikke færdig med cloud endnu
Uden cloud og den rette cloud-strategi havde DR ikke haft samme muligheder eller nye digitale produkter. Det fortæller CIO Mikkel Müller til Computerworld - hvor han også uddyber hvordan han ser resten af it-landskabet bevæge sig mod cloud og hvordan udviklere efterspørger de moderne værktøjer.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Det skal dit endpoint detection and response-system kunne
EDR, eller endpoint detection and response, lovede egentlig bedre it-sikkerhed og bedre overblik. Men resultaterne er ikke helt overbevisende. I dette whitepaper kan du læse om nogle af begrundelserne for, at traditionel EDR kan drille – blandt andet et systemerne kæmper med manglende integration af data fra andre kilder. Samtidig får du i dette whitepaper en checkliste for, hvad du kan forvente at dit endpoint detection and response-system skal kunne samt en række relevante use cases.