Guide til email-kryptering

Skrevet af Thomas Huulbæk Andersen
/images/0101010110101_small.jpg
  
Hvis du vil være sikker på, at dine mails ikke læses af uvedkommende, så skal du bruge kryptering. Læs her hvordan det kan sættes op.


Hvorfor overhovedet kryptere emails?

En af de vigtige ting at forstå ved hele opbygningen af internettet er, at al kommunikation foregår igennem rigtig mange servere. Det vil i praksis sige, at der er mange virksomheder på vejen, som du skal kunne stole på. Og du skal ikke bare stole på virksomheden; du skal stole på virksomhedens sikkerhed og alle dens medarbejdere. Hvis du ikke kan det, så skal du ikke sende fortrolig information ukrypteret.

Kryptering af din email-kommunikation er en lidt sværere øvelse end kryptering af dine egne personlige filer. Det handler nemlig om, at det kun er modtageren - og naturligvis afsenderen - der skal kunne læse posten. Og uden at kende hinandens hemmelige nøgle. Det hedder asymmetrisk kryptering, når der benyttes to forskellige krypteringsnøgler: Én offentlig og én privat.

Det betyder samtidig, at det er vigtigt at afsendere og modtagere benytter en understøttet krypteringsalgoritme og helst samme programstandard. Derfor er det nok en god idé at gå efter det mest udbredte - stadig med overvejende fokus på sikkerheden. Valget falder derfor på OpenPGP, som denne artikel kommer til at handle om.

Valg af mail-klient

En mail-klient er det program du bruger til at skrive, sende og modtage dine emails i. Det kan for eksempel være Outlook, Thunderbird, Windows (Live) Mail og et utal af andre. Det kan også være, at du benytter en rent webbaseret tjeneste som Gmail, Hotmail eller lignende. Hvis du kun bruger Gmail eller lignende, så er det nemmest at installere en mail-klient på din computer og koble den sammen med den webbaserede tjeneste. Der er også alternativer der kan virke direkte i din browser, men det gør det hele mere besværligt.

Der findes en liste over klienter, som OpenPGP understøtter via forskellige udvidelser. I denne guide vælger vi EnigMail sammen med Mozilla Thunderbird. Valget har den fordel, at flere platforme (Windows, Linux, Mac OS) understøttes.

Hvis du ikke allerede benytter Thunderbird, så har du chancen nu. I det følgende går jeg ud fra, at det allerede er installeret.

GnuPG

Vi skal først have installeret GnuPG, som er en open source implementation af OpenPGP. Jeg tager udgangspunkt i Windows og scroller derfor lidt ned ad download-siden for at finde Binaries til Windows og klikker på FTP linket. Filen gemmes og vi åbner den. Installationen er ligetil og der skal bare trykkes Næste til det hele, når du lige har valgt det danske sprog.

Installation af EnigMail

Nu skal vi hente og installere EnigMail, der står for kommunikationen mellem Thunderbird og GnuPG. Du skal vælge at gemme filen, da den skal åbnes i Thunderbid bagefter - du kan f.eks. gemme på dit Skrivebord, da den kan slettes bagefter.

Du åbner Thunderbird og vælger Funktioner --> Tilføjelser og klikker på knappen Installer. Find derefter frem til den gemte fil og installer den - derefter skal Thunderbird genstartes. Hvis den er korrekt installeret, vil du se det nye menupunkt OpenPGP.

Indstillinger og oprettelse af nøgleparret

Gå ikke i panik - det er ikke så kompliceret, som det lyder. Faktisk sker der det, at når du klikker et sted i Thunderbird, så starter EnigMails guide op, så den bruger vi bare.


Vi vælger derfor Yes, I would like the wizard to get me started og klikker Næste.


Vi bliver nu spurgt om OpenPGP skal bruges på alle identiteter. De fleste brugere har kun én email-adresse, så der skal bare klikkes videre. Hvis du har mange konti opsat kan du vælge, hvilke denne opsætning gælder for.


Vi skal tage stilling til, om vi vil signere alle emails eller vælge, når der skal signeres. Signering er ikke det samme som kryptering og der er ikke noget galt i at vælge signering af alle emails. Mail-klienter der ikke understøtter det, vil bare se en vedhæftet fil på alle dine emails. Hvis alle i verden signerede mails, så var jeg en glad mand - så jeg synes, du skal vælge altid at signere dine udgående emails. NB! Det er ikke en god idé at signere alle mails, hvis du primært sender mails i HTML-format - det vil sige mails, der indeholder formattering som for eksempel skrifttyper, farver og lignende.


Du har næppe offentlige nøgler til alle dine kontakter, så derfor vælger vi No, ... til det næste spørgsmål.


Det næste spørgsmål er lidt mere prekært. Hvis du vælger Yes, så ændres en del indstillinger i Thunderbird. Den vigtigste af disse er, at de mails du sender som standard sættes til at være ren tekst og ikke HTML. Forskellen er, at du så ikke kan bruger formateringer (f.eks. fed skrift og lignende) i dine emails - medmindre du vælger det ved hver mail. Derfor vælger jeg at klikke på Details og markerer som på billedet til højre. Indstillingerne kan altid rettes til, hvis der opstår uhensigtsmæssigheder.

Selvom jeg valgte det markerede, så lavede programmet dog en ændring alligevel - alle modtagne mails blev vist som ren tekst og ikke HTML. Det er dog ikke noget stort problem at rette tilbage.


Vi er nu nået til det vigtigste punkt - selve oprettelsen af nøglerne; nøgleparret. Nøgleparret består af din private nøgle og den offentlige nøgle, som du kan dele med alle. Den offentlige nøgle benyttes, når andre skal sende kryptere emails til dig. Din private nøgle bruger du, når du skal læse modtagne krypterede emails.

Det er vigtigt, at du ikke mister din private nøgle - og vigtigt, at du aldrig giver den til andre. Den er også beskyttet med et kodeord, som du nu skal vælge. Det er kodeordet du bruger, når du skal dekryptere emails - vælg et godt og sikkert kodeord.


Så er vi klar til at oprette nøglerne, der er gyldige i de næste 5 år.


Du skal tage stilling til, om du vil oprette et certifikat, der kan bruges, hvis du vil gøre din nøgle ugyldig. Det bruges, hvis din sikkerhed på en eller anden måde bliver kompromitteret, så det er en rigtig god idé at oprette. Jeg vælger at oprette og indtaster derefter mit kodeord.

Så er vi klar til at sende krypterede emails!

Brug af PGP og Thunderbird

For at kunne sende krypterede mails, skal vi have fat i den offentlige nøgle på personen. Hvis du ikke har nogle nøgler, så kan du i første omgang forsøge at finde den i nøgledatabaserne. Det kan gøres i OpenPGP -> Key Management -> Keyserver -> Search for Keys.


Det er dog meget bedre, at få tilsendt de offentlige nøgler fra personerne selv. På den måde sikrer du dig mod falske nøgler. Du kan også sikre dig, når du henter nøgle via databaserne - der står et Key ID og hvis det passer med det, du har fået at vide af personen (måske på vedkommendes website eller i en email), så er du sikker.

Mit Key ID er 1A5C9B53, så hvis du vil sende mig en krypteret mail, så er det den korrekte nøgle at bruge. Hvis du vil være 100 % sikker, så har nøglerne også et fingeraftryk, så når du har importeret nøglen, kan du dobbeltklikke på den og se Fingerprint. Mit fingeraftryk er E1A1 4172 74AD 54AA 72B1 1505 BA34 0E61 1A5C 9B53.

Afsendelse og modtagelse af email

Lad os prøve at sende en krypteret email. Husk at du kun kan sende krypterede mails til personer, der har en offentlig nøgle.


I menupunktet OpenPGP vælges Encrypt Message og da der er tale om en email i HTML-format, så vælger vi også Use PGP/MIME for This Message. Det sikrer, at HTML bliver formatteret ordentligt ved kryptering. Det er ikke alle klienter, der understøtter PGP/MIME og hvis du er usikker, så skal du skrive din email i almindelig tekst (altså uden formattering) og ikke vælge PGP/MIME.

Når emailen er sendt, vil den i din sendte mappe også være krypteret, så der gemmes altså ikke en original kopi noget sted.

Hvis du modtager en krypteret mail, så bliver du bedt om at indtaste dit personlige kodeord til din nøgle. Derefter kan du læse emailen.

Afsluttende bemærkninger

Ok, det kan være lidt omfattende at komme igang med, men når det først er opsat, så er det relativt nemt at gå til. Der er et væld af avancerede muligheder i EnigMail til Thunderbird, så hvis du har nogle spørgsmål eller generelle kommentarer, så skriv dem gerne her.

Kommentarer
Skrevet af: Thomas Huulbæk Andersen den 25. Mar 2011 18:04

Det er også muligt at benytte NemID i Thunderbird, men om det er noget der vinder stor udbredelse er lidt svært for mig at sige…

Thomas Huulbæk Andersen's billede
Skrevet af: Privatliv.Webs den 25. Mar 2011 23:59

Et glimrende initiativ fra Thomas Huulbæk. Det er ikke første forsøg af sin slags (http://www.privatliv.webs.com/krypteretemail.htm) men det er stadig et glimrende initiativ. Forhåbentlig vil mange af Spywarefri’s brugere give krypteringsvejledningen et forsøg. Skulle der opstå vanskeligheder, så er vi flere der kan hjælpe.

Privatliv.Webs's billede
Skrevet af: Thomas Huulbæk Andersen den 05. Apr 2011 10:13

Lad mig også tilføje, at du har rigtig mange gode initiativer wink

Thomas Huulbæk Andersen's billede
Skrevet af: diomedea den 30. Dec 2012 01:52

Hvad mener du om “NemPost” som skulle give mulighed for korrespondance med forskellige myndigheder med cryptering.

diomedea

diomedea's billede
Skrevet af: Thomas Huulbæk Andersen den 07. Jan 2013 10:09

Jeg mener desværre ikke så meget om NemPost, da jeg ikke har sat mig ind i det.

Thomas Huulbæk Andersen's billede
Skrevet af: pgm den 19. Okt 2015 16:00

Hej Thomas, Tak for den fine guide.
Jeg har lykkedes at ligge din nøgle ind, men kan ikke rigtig finde ud af at få kommunens certifikater lagt ind.
Jeg har deres certifikater på min mac, men det kniber med at få dem til virke.
Har du lidt tålmodighed med mig og kan du give yderligere hints.
På forhånd tak.
MVH
Peder

pgm's billede
Seneste artikler
Ringet op af Microsoft?

Et par brugere har gjort os opmærksomme på et svindelnummer, som det er en god idé at være opmærksom på - et skoleeksempel på social engineering.

Software vi kom til at installere

Det findes overalt på næsten alle computere efterhånden: Software, som du ikke mindes at have installeret, som du ikke ved, hvad du skal bruge til og som pludselig bare er der.

Sådan spotter du en skadelig hjemmeside

Internettet har bragt en masse godt til os. Vi kan surfe, vi kan shoppe, vi kan surmule – der findes snart ikke de, vi ikke kan.

Invester i aktier direkte fra hjemmet

Vidste du, at du kan investere i aktier derhjemmefra? Hvis din computer er godt beskyttet mod hackere og virus, er det faktisk det sikreste sted, du kan købe og sælge fra.

Hvad kan man lave nu, når alt er lukket ned?

Og vigtigere, hvad kan man lave på computeren uden at få alt muligt spyware ind på computeren?

Seneste nyt
Sådan spotter du en skadelig hjemmeside

Internettet har bragt en masse godt til os. Vi kan surfe, vi kan shoppe, vi kan surmule – der findes snart ikke de, vi ikke kan.

Fire måder du kan tjene penge online

De fleste bruger efterhånden mere og mere tid foran computeren, og det gør sig særligt gældende i de kolde danske vintermåneder.

Invester i aktier direkte fra hjemmet

Vidste du, at du kan investere i aktier derhjemmefra? Hvis din computer er godt beskyttet mod hackere og virus, er det faktisk det sikreste sted, du kan købe og sælge fra.

Årets store begivenhed: Det amerikanske valg

Det har måske allerede været et utrolig dramatisk år, men årets store begivenhed venter fortsat forude: det amerikanske valg.

Hvad kan man lave nu, når alt er lukket ned?

Og vigtigere, hvad kan man lave på computeren uden at få alt muligt spyware ind på computeren?