Finns det säker E-mail?
När vi nu fler och fler befinner oss på Internet för att surfa,
söka information, hämta uppdateringar, hämta programpaket, skicka
brev etc har vi nu också vant oss med E-mail adresser och förväntar
oss att alla har en E-mail adress. Till en början hävdade man att
hotet mot E-mail över Internet var att du inte visste om breven kom
fram, egentligen inte sämre än vårt eget markburna postverk. Idag
vet vi bättre. Kommer inte breven fram så beror det sällan på
Internet som sådant utan mer på våran egen ändutrustning eller på
vårt handhavande. Idag är diskussionerna kring ett helt annat
ämne:
Hur skall jag veta att den jag skickar brevet till verkligen har
fått brevet?
Hur skall jag veta att den jag skickar brevet till inte är en
falsk mottagare?
Hur skall den som tar emot mina brev veta att jag inte är en falsk
avsändare?
Hur skall jag veta att det jag skickar inte kan läsas av någon
annan än den som brevet är adresserad till?
Hur skall jag veta att innehållet inte är förändrat utan
avsändarens eller mottagarens vetskap?
Innehållet i mina brev transporteras över Internet i klartext. Jag
vet flera stora organisationer, flera noterade på börsen, där den
ekonomiska rapporteringen görs med E-mail över Internet. Att
avlyssna trafik eller på annat sätt läsa E-mail eller tömma E-mail
brevlådor, är inte svårt och verktygen hittar vi naturligtvis på
Internet.
Lösningen är public key kryptering för utbyte av certifikat och
signering av E-mail samt symmetrisk kryptering av postmeddelandet
med längre nycklar än 56 bitar, helst 128 bitars nyckellängd.
Kompletterat med ett CA som erbjuder en säker hantering av
certifikat.
Sedan en tid tillbaka har varje leverantör av E-mailklienter
använt sig av olika typer av funktioner för att lösa problemen.
Egna krypterings algoritmer, egna verifierings algoritmer, egna
kvittens mekanismer eller använt sig av det utmärkta krypterings
och signerings verktyget PGP, som dessutom är gratis.
I dag ser vi två utvecklingslinjer, den ena använder sig av PGP
och den andra som använder sig av S/MIME. Vad betyder det i
praktiken? Om jag använder mig av PGP som ett verktyg för att
kryptera och signera E-mail så har jag idag ett bättre skydd mot
intrång än om jag använder mig av kommersiella produkter såsom
Netscape Communicator 4.x eller Internet Explorer 4.x som använder
sig av 40 bitars kryptering samt signering av meddelanden,
exempelvis med Verisign som ett externt CA. RC2 med 40 bitars
nycklar som ingår i Explorer 4.x och Communicator 4.x knäcks
enkelt, ett flertal dokumenterade försök visar på detta. Många
tycker att 40 bitars kryptering är för svagt och vill heller inte
blanda sig med kommersiella företag som hanterar certifikat.
Idag är PGP det enda kryptering system som har klarat attacker. I
Eudora finns det plugg ins för PGP men vill det går inte att
kombinera detta med RC2 och Verisign's cetifikat hantering. I
Microsoft Explorer 4.x och Netscape Communcator 4.x finns RC2 40
bitars kryptering och Verisign's certifikat hantering men inte
öppningar mot PGP. Det här betyder att det är två världar som inta
kan kommunicera säkert mellan varandra. Vi kan idag inte skicka ett
krypterat och signerat brev till en mottagare och vara helt säker
på att han kan läsa brevets innehåll.
Att nu Microsoft och Netscape med sina nya mail produkter visar på
en lyhördhet och nu har implementerat kryptering , signering,
kopplingar mot CA och med sin stora kundbas, gör att jag faktiskt
tror på en utveckling mot säker Internet mail. Tillåter även de
amerikanska myndigheterna export av längre nycklar än 56 bitar
finns det all anledning till glädjerop. Vad PGP beträffar så har
det inte gått speciellt länge förrän utvecklar på Internet har
utvecklat en programvara som knyter ihop PGP med Microsoft Explorer
4.x och Netscape Communcator 4.x.
