Skaffa din egen e-postnyckel
Att skicka e-post är som att skicka ett vykort. De flesta har sannolikt hört liknelsen. Få har insett att den stämmer. Gör du inget för att skydda den e-post du skickar och tar emot är den lätt att avlyssna för den som är intresserad av din kommunikation.
DEL 2: E-post
På internet finns inga direktkopplingar mellan punkt A och punkt B. Allt som skickas via nätet passerar massor av nätverksutrustning på vägen. Det finns inget som hindrar att personer som har tillgång till utrustningen tittar på trafiken som passerar. Det finns inte heller något som hindrar att IT-teknikern på en källas arbetsplats tittar vad som finns i de anställdas e-postlådor.
Lösningen på problemet är att kryptera e-posten. Med kryptering förvrängs innehållet på ett sätt som gör det omöjligt för obehöriga att läsa det. Bara personer med rätt krypteringsnyckel – det vill säga du och din källa – kan göra det.
Men, och det här är ett stort men: Det är bara innehållet i ett mejl som krypteras. Avsändarens och mottagarens adress står fortfarande i klartext, precis som innehållet i ärenderaden.
Det går att fortsätta liknelsen med den traditionella posten för att förstå varför: det du skriver på ett vykort kan brevbäraren eller en nyfiken granne läsa. Men på vykortet finns inte bara en hälsning från semestern, utan också en adress till mottagaren. Och sannolikt skriver du vem det är ifrån.
Väljer du att skriva ett brev och stoppa det i ett kuvert så är det du skriver dolt från snokande ögon. Men adressen måste ändå stå på utsidan. För hur ska brevbäraren annars kunna lägga brevet i rätt låda?
Samma princip gäller för e-post: det går att stoppa innehållet i ett kuvert genom att använda krypteringen. Men vem som är mottagare och avsändare döljs inte.
Ibland är det faktiskt bara innehållet som behöver skyddas. Men ofta kan det ju räcka att en arbetsgivare vet vem det är som haft kontakt med dig via e-post för att källan ska få problem. Och har källan använt sin e-postadress på jobbet kommer IT-teknikerna kunna ta reda på det, även om innehållet i de mejl som du och källan skickat till varandra har varit krypterade.
I sammanhanget är det också värt att notera att det inte är säkert att det räcker med att skapa ett nytt e-postkonto i påhittat namn på någon av nätets alla e-postjänster för att bli anonym. Varje dator som ansluts till internet har en så kallad IP-adress, en nätets motsvarighet till en fysisk gatuadress. En del e-posttjänster använder sin egen IP-adress som avsändare, medan andra tjänster använder den IP-adress som användarens dator har.
Det bästa alternativet för att skicka krypterad e-post är en teknik som heter PGP, Pretty Good Privacy.
PGP bygger på en metod som kallas för asymmetrisk kryptering. Det innebär att varje användare skapar två krypteringsnycklar, en offentlig och en privat. Det går att göra en liknelse med ett hänglås för att förstå hur de hänger ihop. Den offentliga nyckeln är då själva hänglåset, medan den fysiska nyckel som låser upp låset motsvaras av användarens privata krypteringsnyckel.
Finessen med den här lösningen är att den offentliga nyckeln inte behöver hållas hemlig. Om någon vill skicka dig ett hemligt meddelande i en fysisk låda kan du gå till järnhandeln och köpa ett nytt hänglås. Nyckeln behåller du själv, låset ger du till den person som vill kommunicera med dig. Hen skriver sitt meddelande, stoppar i lådan och låser den med hänglåset. Nu kan bara den som har nyckeln till låset låsa upp den.
Din offentliga PGP-nyckel kan du därmed sprida: du kan till exempel publicera den på en webbplats eller skicka den via e-post. Din privata nyckel ska du däremot vårda riktigt ömt, precis som med nyckeln till det fysiska låset. Din privata nyckel skyddas förvisso av ett lösenord, men den som kommer över den har all tid i världen på sig att försöka knäcka det.
Det innebär till exempel att du inte bör spara din privata nyckel i någon av nätets alla molntjänster. Du bör också skapa en säkerhetskopia av din privata nyckel. Skulle hårddisken i din dator krascha kan du annars aldrig mer läsa något av de mejl som är krypterade med din offentliga nyckel.
Den som vill skicka krypterad e-post med PGP har flera olika programvaror att välja bland. För Windows är GPG4Win en av de mest använda, för Mac GPGTools. I båda fallen är det program som fungerar som komplement till ett befintligt e-postprogram, som Thunderbird eller Outlook. Med GPG4Win eller GPGTools installerat i datorn går det alltså att skicka krypterade mejl från ditt vanliga e-postprogram.
Men för den som inte använt PGP tidigare finns ett alternativ som kan vara enklare att komma igång med. Till webbläsarna Chrome och Firefox finns ett tillägg som heter Mailvelope som gör det möjligt att skicka och ta emot krypterad e-post från populära e-posttjänster på nätet som exempelvis Gmail och Outlook.
Mailvelope fick också höga betyg när den amerikanska medborgarrättsorganisationen EFF publicerade en säkerhetsgenomgång av tjänster som påstår sig erbjuda säker kommunikation.
Med Mailvelope installerat i webbläsaren kan du skapa ditt eget nyckelpar, importera källans offentliga nyckel och sedan börja kommunicera på ett krypterat sätt.
Men var medveten om en brist som Mailvelope har i dagsläget: det går inte att kryptera de bilagor som du eventuellt vill skicka med. Behöver du kryptera mer än innehållet i själva mejlet behöver du alltså använda någon av de PGP-lösningar som du installerar som ett program i din dator.
Anders Thoresson
FAKTA:
Detta är kryptering
Kanske roade du dig med enkla chiffer som barn, där exempelvis alla bokstäver byts ut mot den som kommer efter i alfabetet. ”Hej” blir då ”Ifk”. De krypteringslösningar som används av datorer är betydligt mer komplexa än så, men grundprincipen är ändå densamma: Ta en text och förvräng den på ett förutbestämt sätt. Förvrängningen sker enligt överenskomna matematiska regler och bara den som har tillgång till ”nyckeln” (ofta ett lösenord) kan återskapa det begripliga originalet. För alla andra är innehållet inte annat än en härva av obegripliga teckenkombinationer.
Fyra tips till dig
som ska kryptera mejl:
- Föregå med gott exempel. Om du efterlyser en källa i ett känsligt ämne, föreslå inte okrypterad e-post som kontaktväg. ”Om jag kan förvänta mig att källan vill vara anonym krävs kryptering” är en bra grundregel.
- Svara alltid krypterat. Om någon skickar dig ett krypterat e-post, svara aldrig utan att kryptera svaret. Om den som inleder en kommunikation har valt att kryptera måste du utgå ifrån att hen har goda anledningar att göra så.
- Kryptering är inte anonymisering. Var medveten om att PGP inte gör dig och dina källor anonyma, vare sig gent-emot varandra eller någon som eventuellt avlyssar er. För det krävs andra lös-ningar, som kommande avsnitt i artikelserien tar upp.
- Lär dig använda Mailvelope. En detaljerad introduktion till PGP-kryptering med Mailvelope finns i guiden ”Kom igång med PGP!”, som tagits fram av .SE och Journalistförbundet.
FAKTA:
.SE och källskydd
Stiftelsen för internetinfrastruktur (.SE) är en oberoende allmännyttig organisation som verkar för positiv utveckling av internet i Sverige.
.SE och Journalistförbundet har tillsammans tagit fram fördjupningsmaterial om digitalt källskydd.
Grunderna finns i Digitalt källskydd – en introduktion. I Digitalt självförsvar – en introduktion kan källor hitta tips om hur de kan kontakta journalister på ett säkert sätt.
Guiderna finns att läsa och ladda ned kostnadsfritt på
www.iis.se/guider.
Kommande delar i artikelserien:
Del 3: Riskerna med trådlösa nätverk och molntjänster.
Del 4: Anonymitet på internet, med hjälp av TOR.
Del 5: Mobiltelefonen – hur säker är den?