Debatten kring avlyssning av Internet-trafik har åter blommat upp. Rubriker som “Den personliga integriteten är hotad” och “Storebror ser dig” är åter på tapeten.
När jag följer mediernas bevakning så är jag lika förvånad nu som tidigare. Tror någon på fullaste allvar att Internet-trafik flyter utan någon form av kontroll eller loggning. Det är väl snarast nivåerna av kontroll och loggning som torde vara intressant att diskutera.
Visst kan jag bli upprörd om någon för logg med vilka hostar jag etablerar session. Betänk dock är definitionen av “jag” fortfarande oklar och det går inte, även om media vill, sätta likhetstecken mellan “jag” och en IP-adress. Det blir mest bara antaganden. Någon kanske känner oro att den som avlyssnar min Internet-trafik kan ta del av känslig information. En berättigad oro, men varför skall känslig information skickas i klartext?
Avlyssning av E-mail är det som oftast nämns i media och här har media har helt rätt. Avlyssning förekommer och E-mail innehåller massor med känslig information. Det är enbart promille av alla E-mail som krypteras och resten som går i klartext är en högintressant källa för information. Varför skickas då i princip all E-mail i klartext?
Tekniken för att kryptera och signera E-mail har funnits i princip lika längre som Internet. De finns färdiga implementationer till Exchange, Notes och GroupWise samt de mailsystem som använder POP/IMAP vilket gör att man täcker en större flora av alla maillsystem. Det är enkelt att använda för gemene man och kostnaden ligger i paritet med antivirusprogramvaror. Vad är haken?
I en artikel som jag skrev augusti 1997 var jag ganska övertygad om att PGP och S/MIME, de två vanligaste teknikerna för att kryptera och signera E-mail, skulle ta rejäl fart och att vi efter ett par åt skulle se en dominerande standard. Faktum är att det inte hänt speciellt mycket sedan dess. Jag skulle kunna damma av den artikeln, byta lite årtal och versionsbeteckningar och den skulle kännas hyfsat aktuell. Tyvärr. Vad är haken?
Lek med tanken att vi kring 1999/2000 hade kört PGP eller S/MIME fullt ut för vår kommersiella E-mail. Hur enkelt hade det då inte varit att idag sortera ut de E-mail som inte varit krypterade och signerade av en känd part och betraktat det som SPAM? I stället har vi hamnat i en situation där vi spenderar långt större summor på att bemästra SPAM än vad ett införande av E-mailkryptering/signering hade kostat. Investeringar för att bemästra SPAM ger visserligen en del andra mervärden än att göra E-mailhanteringen dräglig, men i grund och botten är detta resultatet av att vi inte begär mer av E-mail idag än vad som gjordes för tio år sedan. Därmed inte sagt att de lösningar som finns idag för att hantera SPAM är värdelösa, tvärtom, de lösningar vi valt att arbeta aktivt med fortsätter att förvåna mig positivt och jag skulle inte vilja vara utan dem för en dag!
Dessvärre så ser jag inte någon ljusning vad gäller E-mail kryptering och signering. Media kommer att fokusera på att Internet avlyssnas eftersom det är mer spännande än att visa på enkelheten med att kryptera och signera E-mail och därmed vända avlyssnarna ryggen. Haken är nog att gemene man bedömer risken som ringa att känslig informationen i E-mail hamnar i orätta händer och kommer därför även fortsättningsvis att skicka E-mail i klartext. Jag undrar om gemene man skulle göra samma bedömning avseende vanlig post om det bara fanns transparenta kuvert?
Om du skiljer dig från gemene man och vill börja kryptera och signera dina E-mail men känner dig osäker på hur du skall gå tillväga, kontakta mig eller någon av mina kollegor för tips och råd. Det är enklare än du tror och du kan därefter tryggt använda E-mail för känslig information.
© 2003 Thomas Nilsson, Certezza AB
Thomas Nilsson
