Kryptering

Kryptering är att göra information svårläslig för alla som inte ska kunna läsa den, och har troligtvis funnits nästan lika länge som skriftspråket. Genom att använda ett kodsystem eller ett chiffer kastas bokstäver och siffror om, och texten blir oläslig. För att göra informationen läslig igen krävs dekryptering, som (i bästa fall) bara kan göras av de personer som texten är ämnad för.

I dag kan kryptering användas i många sammanhang. En grupp självklara användare är underrättelsetjänster världen över, som har behov av att skicka information kors och tvärs utan att den kan läsas av någon annan än dess egna instanser.

Idag är det en självklarhet att kryptering används av olika tjänster och webbsidor på nätet, i programvaror och i smartphones – för att skydda vår, ofta privata, information. De tydligaste exemplen på det är din internetbank och när du köper något från etablerade e-handelsplatser.

Men det finns fortfarande många tillfällen då vi själva behöver skydda filer och dokument, då vi aktivt behöver tillämpa kryptering.

Varför är Kryptering viktigt?

I kapitlet ”Vem tittar på dig och varför?” gick vi igenom det helt oöverskådliga nätverk vi i dag kallar nätet. Det är lätt att inse vilka känsliga vägar vi tar på nätet, då vi surfar och kommunicerar med andra. Vi har helt enkelt ingen aning om vem som tittar, vem som har tillgång till våra data eller var vår information passerar.

Framförallt finns det extremt många ställen där vår kommunikation är sårbar (rentav öppen för allmän beskådan) och där vår information är i fara att komma i orätta händer. Genom att kryptera vår kommunikation och våra filer kan vi vara säkra på att även om informationen kommer i orätta händer, vilket den förr eller senare kommer att göra, är den oläslig för obehöriga.

Exempel på tillfällen då kryptering kan vara viktigt:

En smartphone.
Smartphones är lätta att tappa bort, och är lovligt byte för ficktjuvar. Om din smartphone inte är krypterad är det lätt att komma åt bilder, sms och annan privat information. Om du har en krypterad smartphone kommer inte tjuven åt lika mycket.

Hemliga filer på en delad dator (hemma eller på arbetsplatsen).
Om flera har tillgång till datorn bör du kryptera de filer som bara är dina.

En laptop.
En bärbar dator som flyttas mellan olika platser är extra utsatt för stöldrisk – och kan rentav glömmas på bussen. Om hårddisken är krypterad, helt eller delvis, kommer ingen kunna komma åt dina filer.

tipsViktigt!

Din lösenkod

Att en mobil eller dator har en lösenkod som måste knappas in för att du ska kunna använda den är nödvändigt för din personliga integritets skull, men det innebär inte att innehållet i apparaten är krypterat. Det är med andra ord ett rätt svagt, men nödvändigt, skydd.

Kryptering av filer och kryptering av trafik

Det finns en viktig skillnad mellan kryptering av filer och av trafik, som vi kommer ta upp nedan genom ett flertal exempel.

Kryptering av filer kan liknas vid ett kassaskåp. Genom att kryptera filerna låser vi in dem i ett kassaskåp bara vi själva, eller en eventuell mottagare, har nyckeln till. På så sätt kan vi lagra eller skicka filerna utan att vara oroliga för att någon ska kunna öppna låset och titta på dem.

Kryptering av trafik kan liknas vid en privat tunnel på motorvägen, bara för dig. I det fria kan alla se vad du och andra gör på motorvägen, men i tunneln är du ensam. Dina data åker genom en krypterad tunnel, som bara du eller mottagaren på andra sidan kan avkryptera. Om någon tittar på din datatrafik då du är i tunneln kan de se att du surfar, men de kan inte se vad du surfar på eller vad du gör.

Viktigt att tänka på – kryptera trafiken eller filerna? Eller båda?
Det är viktigt att tänka igenom vilken del av din kommunikation som bör krypteras – och huruvida du ska kryptera filerna eller trafiken. I känsliga fall kan båda vara befogade.

Tänk dig att du åker bil. Om det viktigaste är att skydda ditt bagage (dina filer), då räcker det troligtvis med att kryptera filerna. För även om någon ser att du åker bil kan de inte öppna ditt kassaskåp (dina krypterade filer). Det kan jämföras med att skicka krypterade filer över ett osäkert nätverk. även om någon kan se och får tag på filerna, så kan de inte öppna och läsa dem.

Men om det snarare är viktigt att göra saker i hemlighet, så att ingen vet om att du åker bil eller vad du gör i bilen, då är det troligtvis smart att åka inuti tunneln. Genom att kryptera din nättrafik kan ingen utomstående se vad du gör inuti tunneln. Men notera att dina filer inte är krypterade inuti tunneln – det är enbart trafiken, var du klickar och vad du skriver, som är krypterat.

Om du därför inte litar på den som tillhandahåller tunneln, då kan det vara smart att också kryptera filerna som åker genom tunneln. På så vis kan ingen se vad du gör i tunneln, och även om självaste tunnelchefen skulle vända sig mot dig är dina filer säkra i kassaskåpet.

Detta är starkt förknippat med den teknologi och det tänk som används av tjänsten Tor, vars krypterings- och anonymiseringslösning ger ett av de bättre alternativen på säkra tunnlar på internet. Tor ger dock skydd i själva tunneln, men i ändarna är trafiken oskyddad. Många som är måna om sin säkerhet använder dessutom en VPN-tjänst (eller flera) för att maskera sin ip-adress.

Lokal kryptering

Den enklaste modellen av kryptering är lokal kryptering av filer. Det är vad du använder då du vill kryptera ett eller flera dokument, för att bara du eller en potentiell mottagare ska kunna öppna dokumenten.

Det går också att kryptera ett helt medium, likt hela hårddisken i en laptop eller en usb-sticka. Det sistnämnda kan vara ett väldigt smart sätt att lämna över information till någon annan. Att lämna en okrypterad usb-sticka vidare är inte särskilt säkert. Men om den är krypterad, och bara mottagaren har lösenordet, är det mycket säkrare. Eftersom usb-stickan kan överlämnas fysiskt behöver du dessutom inte skicka filerna över nätet.

Kryptering när du surfar

Ytterligare en viktig instans av kryptering sker då du surfar på sajter som använder kryptering. Det gäller absolut inte alla sajter, men de flesta stora banker, e-postleverantörer och sociala medier använder i dag krypterade anslutningar. Du vet att du surfar med en krypterad anslutning om det i adressraden står ”https://” istället för ’”http://”. Notera att det är ett extra ’s’ efter ’http’.

En krypterad anslutning kan som sagt liknas vid en tunnel på motorvägen. Krypteringen gör så att dina data åker genom en tunnel, som bara du och webbplatsen kan avkryptera. Om någon tittar på din datatrafik kan de se att du surfar, men de kan inte tränga igenom tunneln – och därmed inte se exakt vad du gör.

Det är viktigt att inse vad detta skyddar mot, och kanske framförallt vad det inte skyddar mot. Om någon som surfar på samma nätverk som du försöker se vad du gör när du kollar din e-post i browsern – då skyddas du av tunneln. Personen kommer att se att du surfar, men inte vad du gör.

Däremot skyddar det självklart inte mot personer eller organisationer som har tillgång till tjänsten på andra sidan. Om du exempelvis surfar på Facebook så kan Facebooks personal självklart alltid se vad du gör, oavsett om du har en krypterad anslutning till Facebook eller inte.

Sakta men säkert börjar fler och fler sajter använda krypterade anslutningar, vilket hjälper användare att surfa krypterat i högre utsträckning. Men långt ifrån alla leverantörer använder https – kolla alltid i adressraden om du är osäker.

Dessutom finns det flera tjänsteleverantörer, däribland Facebook, i vars inställningar man själv måste välja om man vill surfa med https eller inte. Det är inte påslaget från början. Eftersom det knappast finns någon nackdel med att surfa krypterat kan det vara smart att undersöka huruvida dina olika tjänsteleverantörer har möjlighet att låta dig surfa krypterat.

Gör det till en vana att surfa med https.

Kryptering i molnet

Att förvara dina filer i molnet blir allt vanligare, både bland privata användare och företag. Tjänsteleverantörer som Google och Dropbox gör det supersmidigt att ha tillgång till dina filer var du än är – i datorn och i mobilen. Ett självklart problem med detta uppstår då du hanterar känsliga uppgifter. Eller rentav bara privata uppgifter, som du inte vill att någon obehörig någonsin ska se. Eftersom du förvarar dessa filer på ett företags servrar finns det full möjlighet för andra att titta på det.

Som nämndes i inledningen: det som är juridiskt svårt är samtidigt tekniskt enkelt. även om det är mot reglerna för en anställd på exempelvis Dropbox att titta på dina privata filer, så är det väldigt enkelt för dem att göra det. Litar du helt och hållet på företaget i fråga? Om svaret på frågan är nej, kan det vara smart att kryptera hela eller delar av din filsamling i molnet. Det finns flera bra lösningar på marknaden i dag, varav flera har en gratis grundnivå för privata användare, som gör detta på ett smart och enkelt sätt. På så vis kan inte ens tjänsteleverantören i fråga se på dina filer, även om de har fysisk kontroll över servrarna där filerna ligger.

E-post

E-post blev i rasande fart en del av vår vardag. Oavsett om det gäller privata meddelanden eller kommunikation på jobbet är det något vi alla använder, mer eller mindre omfattande. Därmed finns det flera saker du alla bör tänka på, då du skickar våra brev ut på nätet.

Som ett vykort på posten
Att skicka e-post i dag är precis som att skicka vykort med posten. Den enda skillnaden är troligtvis att vykort är säkrare, och kan läsas av färre människor längs med vägen.

Ett vykort kan läsas av både brevbärare och diverse personer som arbetar med att hantera posten. Precis samma sak gäller för e-post. När du skickar ett e-postmeddelande passerar det förbi flera olika stationer på vägen till mottagaren, både hos olika internetleverantörer och olika epostservrar. Den exakta vägen beror förstås på var du skickar meddelandet från, och vem du skickar det till.

även om du skickar ett e-postmeddelande till någon på ditt eget företag – som arbetar på sin dator precis bredvid dig – är risken stor att ditt e-postmeddelande studsar runt i världen innan det når datorn bredvid dig. Om du exempelvis använder Gmail, från amerikanska Google, åker troligtvis ditt e-postmeddelande förbi USA en sväng – och därmed förbi de amerikanska myndigheterna. Så om meddelandet till din kollega är hemligt, kanske det rentav är värt att skriva ned det på en papperslapp istället och lämna över det vid dennes skrivbord.

Men även här finns det relativt enkla medel att ta till, för att kunna säkra sina meddelanden. Det kräver lite tålamod, men gör stor skillnad den dag någon obehörig vill komma åt din korrespondens.

PGP

Det finns i princip bara ett tillförlitligt sätt att kryptera sin e-post i dag, och det är att använda något som heter PGP (Pretty Good Privacy). Med hjälp av PGP kan du kryptera din e-post så att den enbart kan läsas av den tänkta mottagaren.

Enkelt förklarat fungerar PGP genom att alla användare genererar två nycklar, en privat och en publik nyckel. Den publika nyckeln kan man dela med sig av till alla, men den privata nyckeln behåller man för sig själv. Den publika nyckeln används för att kryptera (låsa) e-post, och den privata används för att avkryptera (låsa upp) e-post. Genom att byta publika nycklar med varandra, kan du därmed skapa ett nätverk av kontakter vars publika nycklar gör det möjligt att skicka e-post till dem i krypterad (låst) form.

På samma sätt kan alla andra skicka krypterad (låst) e-post till dig, som bara du kan avkryptera (låsa upp) med din privata nyckel. Att på eget initiativ använda PGP resulterar i ett säkrare sätt att skicka e-post än du vanligtvis gör, då informationen är oläslig för alla utom mottagaren.

Viktigt att tänka på med PGP

Initiativet att använda PGP för krypterad epost kan komma från dig själv och tekniken du använder ska också vara något du känner dig väl förtrogen med. Med andra ord behöver du inte lita på din arbetsgivares ord om att din e-post redan är säker i företagets system, eller lita på företagets egna lösningar. I synnerhet inte om du vill kunna skicka epost som ska hemlighållas för arbetsgivaren.

En svaghet med PGP är att krypteringen bara gäller informationen, själva texten och filerna, i e-postmeddelandet. Men metadata om när och var e-posten skickades går fortfarande att se. Detta kan i många fall vara minst lika problematiskt. Om din arbetsgivare kan se att du skickat ett krypterat e-postmeddelande till en journalist, då spelar det troligtvis ingen roll vad som står i e-postmeddelandet.

Lär dig använda PGP!

Till den här Internetguiden medföljer XL-materialet ”Kom igång med PGP!”. I dokumentet får du lära dig grunderna och hur du använder PGP i praktiken, steg-för-steg. Materialet laddar du ned kostnadsfritt här.

Innan du använder PGP, läs på ordentligt och se till att du vet vad du gör. Vi passar på att igen nämna XL-materialet ”Kom igång med PGP!” som förklarar hur du går till väga.

Du kan skicka krypterade filer utan att kryptera själva e-postmeddelandet
Precis som vi ovan skiljer på krypterade filer och krypterad trafik, kan vi skilja på krypterade filer och krypterade e-postmeddelanden. Om du vill skydda all din text då du skickar e-post, då bör du använda PGP som beskrivits ovan. Om du däremot bara ska skicka en stor fil som är krypterad i sig själv, då kan du självklart skicka den med vanlig e-post. Då kommer all text i e-postmeddelandet att vara synlig vid ett eventuellt angrepp, men filen fortsätter vara skyddad av sin egen kryptering.