Artikel top billede

Sådan beskytter du dit privatliv på nettet - del 2

Computerworld viser nu, hvordan du krypterer din private e-post, men vi stiller samtidig spørgsmålstegn ved, om det overhovedet kan betale sig.

Læs også: Sådan beskytter du dit privatliv på nettet - del 1.

E-post har på to årtier fuldstændigt overflødiggjort de fleste andre former for skriftlig kommunikation som breve, telefax og telegrammer.

Men der er faktisk ikke særlig mange virksomheder, der krypterer deres e-post.

Ifølge en undersøgelse fra IT- og Telestyrelsen brugte kun 17 procent af alle virksomheder med internetforbindelse datakryptering af hensyn til fortrolighed i 2008.

Kryptering går helt tilbage til brev- og telegramindustrien, hvor der blev udviklet komplicerede systemer til at kryptere simple korte telegrambeskeder. Men i dag er det altså de færreste virksomheder, som sender deres e-post med kryptering.

Det betyder, at andre folk nemt kan aflure, hvad du skriver i din e-post, hvis du ikke krypterer den. Og IT- og Telestyrelsen er skarpe i deres advarsel.

"Vi anbefaler, at folk krypterer fortrolig information, de ikke ønsker naboen, svigermor eller andre skal se - især personoplysninger som eksempelvis CPR-nummeret," fortæller Sarah Kirkeby, konstitueret souchef for It-sikkerhedskontoret i IT- og Telestyrelsen med ansvar for privacy-området.

Hvad betyder PGP og RSA?

Der er flere forskellige måder, at kryptere en e-post på. Et af de mest anvendte former er ved hjælp af en PGP-kryptering (Pretty Good Privacy, red.).

For at du kan begynde at begynde og kryptere dine mails, skal du nemlig sætte din computer op til at være en mindre Enigma-maskine. Ved at bruge PGP-kryptering bruger du en privat og offentlig nøgle.

Den private nøgle bruger du til at dekryptere med. Den offentlige nøgle bruger folk til at kryptere en e-post, som altså kun du kan dekryptere med din private nøgle.

Disse to nøgler kan du danne ved hjælp af en RSA-algoritme (Rivest, Shamir, Adlean, red.). Det er en algoritme, der bruger to primtal til at generere nøglerne.

Plugin-knapper til PGP-kryptering

Der er flere forskellige måder, hvorpå du kan installere en let knap til din e-post-klient. Hvis du bruger Outlook, er der flere erhvervsvirksomheder, der har specialiseret sig i at integrere en PGP-krypteringsknap ind i Outlook. En erhvervsløsning koster dog penge, og der er flere løsninger på nettet, der fungerer ganske gratis. De kræver dog noget engagement fra brugeren.

Et af disse gratis programmer er Crypto Anywhere, der integrerer PGP-kryptering ind i Outlook Express, Outlook 2000 og Outlook 2002.

Læs også: Sådan beskytter du dit privatliv på nettet - del 1.

Mere gratis kryptering

Læs også: Sådan beskytter du dit privatliv på nettet - del 1.

Et andet gratisprogram er Gpg4win. Det virker til Outlook 2003 og 2007. Ligesom med gratisprogrammet, Crypto Anywhere, er det godt at læse instruktionerne på forhånd.

Det kan give bøvl med installationen, hvis du ikke gør det. Den store hovedmanual er på tysk, mens der er en mindre nybegyndermanual på engelsk. Men for dem, der ikke er tyskkyndige, er der altid Google Translate.

Hvis du bruger e-post i browseren er der også hjælp at hente. Du kan hente det glimrende gratisprogram FireGPG, der dog kun virker på Firefox. Husk dog at installere GnuPG-softwaren først.

Når du har installeret FireGPG, skal du sætte det op. Et af de ting, der hyppigt går galt, er stiangivelsen for, hvor krypteringsfilen ligger.

Der er en god vejledning for hele affæren på wikisecure.

Hvis man kun har behov for at sende sikker e-post til danskere, er der dog en anden mulighed. Her er det nemlig muligt at kryptere igennem Digital Signatur.

Brug Digital Signatur i det offentlige

Når offentlige myndigheder i dag sender ekstern e-post, skal de kryptere data, hvis den indeholder borgernes private oplysninger. Samtidig skal offentlige myndigheder også kunne modtage krypteret post.

"E-post skal være krypteret, når to offentlige institutioner udveksler fortrolige og følsomme oplysninger om borgere," fortæller kontorchef Lena Andersen fra Datatilsynet.

"Hvad folk så gør med deres egne oplysninger, det blander persondataloven sig ikke i. Men når man er dataansvarlig for andres personoplysninger, så skal man beskytte data, og for offentlige myndigheder er det gældende praksis, at transmmission over internet af fortrolige og følsomme personoplysninger skal krypteres" siger Lena Andersen.

Datatilsynet kræver, at offentlige myndigheder ved følsomme oplysninger anvender stærk kryptering, hvis det offentlige sender disse oplysninger mellem hinanden. I øjeblikket skal denne kryptering være på 128-bit.

Men i realiteten betyder det, at borgerne skal vælge at få sig en Digital Signatur, hvis de gerne vil sende krypteret e-post til offentlige myndigheder. For de fleste offentlige myndigheder, som Computerworld har set på, tilbyder kun en offentlig nøgle, der udgår af Digital Signatur.

Berlingske vil ikke afvise kryptering

Berlingske Media er lige gået over til en Google Apps-løsning, når det gælder e-post-drift.

Den kryptering medievirksomheden indtil videre vil tilbyde til dets brugere er en https-løsning.

Det er den samme løsning, som de også anvender i dag, når virksomhedens brugere skal logge på ved hjælp af en browser.

Egentlig er det en forholdsvis sikker form for kryptering, men problemet er bare, at ens browser kan være kompromitteret, og de standardsikkerhedscertifikater, som browseren typisk indeholder, kan derfor være sat forkert op.

Berlingske vil ikke afvise kryptering

Derudover kan brugen af trådløst internet også kompromittere sikkerheden, da din computer først skal sende en anmodning, der ikke nødvendigvis er sikker, over til den sikre server for at bede om et sikkerhedscertifikat.

Det kan aflures, og din sikre forbindelse kan derefter blive genstand for en decideret kapring eller vildledning.

Det sikreste er derfor at kryptere en e-post, der allerede er krypteret fra start.

Og Berlingske Media vil da heller ikke afvise, at enkelte medarbejdere i fremtiden vil have behov for mere sikre kommunikationsformer.

"Men i de år, hvor jeg har været it-direktør, er der endnu ikke nogen, der har stillet mig spørgsmål om, hvordan de får PGP-kryptering på deres e-post," siger Torben Lundberg, it-direktør i Berlingske Media.

Indtil der er flere medarbejdere, der kræver en PGP-kryptering på deres e-post, kommer der ikke en standardløsning fra it-kontoret i Berlingske Media.

Er kryptering for besværligt?

Men måske er det ikke besværet værd at kryptere ens e-post. For som sagt skal folk kende din offentlige nøgle, når de skal sende krypteret e-post til dig, og du skal kende deres offentlige nøgle, hvis du skal sende til dem.

Og med mængden af e-post, som folk sender frem og tilbage, skal en hacker til at sortere i rigtig store mængder af information for at finde noget brugbart og interessant. Dog kan man med text-mining programmer hurtigt søge i store mængder af information.

"Der, hvor de fleste folk falder af, er ved nøgleudvekslingen. Det er de færreste almindelige danskere, der også kan finde ud af at skulle udveksle offentlige PGP-nøgler. Der er selvfølgelig Digital Signatur, men det er kun danskere, som bruger den," forklarer Niels Elgaard Larsen, formand for IT-Politisk Forening.

Men selv om der er nogle mennesker, der står af, når de skal udveksle offentlige nøgler, er det ikke værre end, at privatpersoner blot kan dele deres offentlige krypteringsnøgler frit omkring blandt andet på deres visitkort, forklarer Niels Elgaard Larsen.

Samtidig forklarer Niels Elgaard Larsen, at Den Digitale Signatur fra DanID er af tvivlsom værdi, da brugeren ikke har sin egen private nøgle.

Kryptering var mere almindeligt med telegrammer

Læs også: Sådan beskytter du dit privatliv på nettet - del 1.

I de gamle telegrafdage kunne folk, der ville aflure telegrammer gå hen til en telegraflinje og aflure trafikken på disse linjer ved at koble deres egen læser til telegraflinjen.

Eller hvis man ville aflytte telefonsamtaler, tog man hen til den nærmeste telefonpost og satte to krokodillenæb med tilhørende udstyr på en ledning. Her var det mere ligetil at finde ud af, hvilken linje naboen eller en konkurrerende virksomhed brugte.

"Virksomheder og stater havde virkelig fokus på kryptering, da telegrammet havde sin storhedstid. Her var der telegramstationer, hvor der var telegrafister, der jo sad og transkriberede telegrammer videre i systemet. Der var også mange kommercielle telegrafkodebøger til det private erhvervsliv dengang," fortæller Sune Christian Pedersen, museumsinspektør på Post- og Telemuseet og forfatter til bogen 'Brudt Segl', der omhandler om krypteringens historie.

De mange stop, som et telegram skulle igennem, kunne indebære en sikkerhedsrisiko. Blandt andet fortæller Sune Christian Pedersen om det famøse Zimmermann-telegram, der fik USA med i Første Verdenskrig på England og Frankrigs side. Telegrammet skulle igennem Washington, Berlin, København, London og Washington for til sidst at lande i Mexico City. I London fik briterne opsnappet telegrammet, som de også fik brudt koden på. Historien kan blandt andet ses på Post- og Telemuseets aktuelle særudstilling.

Trojanske heste er farligere

I dag er der flere muligheder for at aflure data, da e-post ofte ligger gemt på en e-post-server. Derfor behøver e-post-lurere ikke at overvåge trafik i realtime som de gamle telegram-lurere. Her er det mere simple løsninger, som at aflure en brugers adgangskode til hans e-post-konto, der dermed giver adgang til et helt arkiv af e-post.

"Det er i dag i langt højere grad trojanske heste, der er farlige for den almindelige bruger," fastslår Mads Bryde Andersen, juraprofessor ved Københavns Universitet.

Dengang for 20 år siden, hvor e-post-kommunikation stadig var forholdsvis ny, var det en meddelelsesform, der havde noget alvorligt over sig, mener Mads Bryde Andersen.

Men i dag er der sket en vis inflation i brugen af e-post, således, at den efterhånden har overtaget tidligere mundtlig kommunikation samt telefonsamtaler.

"Ideen om, at al e-post skal være krypteret, er forkert. Det er ikke særlig sandsynligt, at der er en hacker, som lytter med, når du sender en e-post. Men hvis det er kritisk for dig og din virksomhed, at din kommunikation er hemmelig, skal man også tilpasse sin kommunikationsform efter det givne sikkerhedsbehov," siger Mads Bryde Andersen.

Læs også: Sådan beskytter du dit privatliv på nettet - del 1.

Efter artiklens publicering har sikkerhedsekspert Bjørn Toft Madsen påpeget, at den Digitale Signatur bruger X.509-krypteringsformatet. Det betyder, at andre e-post programmer der kan læse X.509-formatet også kan forstå den Digitale Signatur - også i udlandet. Den internationale virksomhed VeriSign tilbyder blandt andet et tilsvarende X.509-certifikat, som virker med den Digitale Signatur.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Itm8 | IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere