Att signera och använda krypterad epost.

Based on Joar Wingfors guide
Translated to swedish by Niklas Blomdalen, LOP|net

Introduktion

E-post är en av de få tekniker som var med i begynnelsen, då internet var ett säkert och vänligt ställe att vara på. Nu är det tyvärr inte så längre och alltför många skickar viktig e-post helt oskyddat. Jag jämför ett e-post som ett vykort, det kan läsas av vem som hellst på vägen.

Men de stora mailklienterna (Apple Mail och Outlook) samt vår webbmail har möjligheten att skicka signerad och krypterad e-post. Vilket jag önskar fler gjorde. Skillnaden mellan ett signerat mail och ett krypterat mail är enkelt. När du skickar ett signerat mail kan man vara säker på att det är den avsändaradress som skickat mailet.

Idag skickas rätt mycket spam som är manipulerat så att det står falska avsändaradresser. Med ett signerat mail vet man alltså att emailet verkligen kom ifrån den adressen. När man skickar ett signerat mail kan man spara "signaturen" från avsändaren och när man svarar på det mailet kan man välja att kryptera mailet enbart för denna mottagaren.

Det innebär att ingen kan läsa mailet på vägen eftersom innehållet är krypterat mellan avsändaren och mottagaren. Inte ens servrarna på vägen kan tjuvkika i mailet.

Den här hemsidan är en beskrivning om hur man går tillväga för att använda krypterad post som jag själv gör.
Använder du windows kika på den här sidan istället: Mark Noble: S/MIME Secure Email for Windows users

Digitala certifikat

I verkligheten finns flera intyg som kan verifiera en persons identitet, körkort, legitimation eller pass är några exempel. Som ni vet går man till en myndighet, polisen tillexempel för att införskaffa ett pass. På internet finns liknande "myndigheter" som kan ge dig en digital identitet (digitala certifikat).

Det finns flera typer av digitala certifikat, till exempel för hemsidor, de används ofta av webbutiker eller när man hanterar känslig information. Man känner igen dem genom hänglåset i webbläsarfönstet och https-adressen. Vi går enbart igenom e-post certifikat på den här sidan.

Med andra ord, när du får ett mail ifrån janne.jansson@mail.se berättar signeringen inte alltid att det är Janne Jansson som skickar mailet, utan att mailet kommer ifrån den e-postadressen.

Det finns sådana certifikat där man verifierar avsändaren också, vi kommer gå igenom skillnaden senare.

Vi kommer att gå igenom certifikat ifrån "myndigheter" thawte, ett sydafrikanskt företag ägt av verisign, av den enkla anledningen att de erbjuder gratis e-post certifikat.

Notera om du använder Mac OS X: Du måste använda Apple Safari 1.2 eller senare för att vår guide ska vara korrekt. Mozilla går även bra att använda. Av den enkla anledningen att de andra webbläsarna för närvarande inte fullt ut stödjer den här formen av certifikat.

Dags att införskaffa ett konto hos thawte, klicka på "join" knappen.


Tänk på att du behöver välja ett säkert lösenord som ingen annan vet, med tanke på att de kan utge sig för att vara dig om de får tag i lösenordet. När kontot väl är skapat kan du logga in på deras sida och förfråga ett certifikat genom att fylla i blanketten på den här sidan:

På de första fyra sidorna accepterar du de förinställda värdena. På femte sidan väljer du "Accept Default Extensions". När du går förbi sida sex kommer din dator att generera en engångsnyckel för att sedan kryptera din nyckel. Om din nyckelring är låst måste du låsa upp den när den begär lösenordet. Den sista sidan accepterar du och tar en kort paus, för du får ett mail när ditt certifikat är genererat. Stäng inte av din webbläsare under tiden. Det tar oftast inte mer än fem minuter.

               

Frivilligt: Som tips kan du säga upp din prenumration på nyhetsbrev från Thawte

Får du inget mail kan du titta på statusen här: Thawte: Certificate Request Status
Först är ditt certifikat "pending" och när det är klar "issued". När det är klart klickar du på knappen "Navigator", sen på knappen "fetch" för att ladda hem ditt certifikat.


När du har hämtat hem certifikatet öppnar safari nyckelringen för att importera certifikatet, då får du skriva in ditt lösenord du angav när du skapade certifikatet.

Att tänka på: Har du flera e-post adresser får du begära flera certifikat, gör om sista processen för varje extra adress.

Att använda Apple Mail

Att skicka ett signerat mail klickar du på signeringsknappen (kugghjulet med en bock i). Lika enkelt att skicka krypterade mail genom att klicka på hänglåset.

Är hänglåset grått beror det på att du inte har mottagarens signatur i din dator. Be denne skicka ett signerat mail till dig.

Bra att veta: Ett ok signerat meddelande vet du att ingen har ändrat i, det är så som det lämnade avsändarens dator. Meddelandet är fortfarande i klartext (vykort), men du vet att innehållet inte är ändrat.

Ett krypterat meddelande packar innehållet så bara avsändaren och mottagaren kan se innehållet (ungefär som rek brev)

Såhär ser mottagaren att mailet är signerat och krypterat. Alltså vet du att det är avsändaren som skrev mailet som visas, och att det är oförändrat.

Om klienten upptäcker att mailet är ändrat efter det att avsändaren skickade mailet ser det ut såhär:

Att tänka på

Apple Mail jämför inte avsändarnamnet med det namnet som står i certifikatet, det gör däremot vår webbmail.

Därför står det såhär på "Thawte Freemail Member" som avsändarnamn, med din epost. Det beror på att du inte har legitimerat dig någonstans, det enda du verifierat är att det är du som sitter vid din mailadress.


Men det finns en lösning för det med, man kan träffa en thawte notarie som verifierar att du verkligen är du. Eftersom du angav ditt personnummer när du skapade ditt konto på thawte kan jag träffa dig och verifiera att du har en giltig legitimation som anger samma personnummer. På så vis kan du få ditt riktiga namn på framtida certifikat. Du behöver träffa minst två personer som intygar att du är du (med hjälp av fotolegitimation), men en bra början är väl Niklas (mig själv). Bor du i Göteborg har jag några kollegor som kan verifiera resterande poäng.

Klient kompabilitet
Här är några bra saker att känna till angående kompabilitet mellan olika klienter.

Medans Outlook XP kan läsa signerade och / eller signerade mail skickade från Apple Mail, så kan inte Mail öppna meddelanden ifrån Outlook XP som är både signerade och krypterade. Outlook Express har problem med certifikat som innehåller fler än en epostadess, så gör ett certifikat per epost för att undvika problem. Netscape 7.01 känner inte igen signerade Mail. Men att uppgradera till Netscape 7.1 löser problemet. Det verkar som de flesta populära klienterna stödjer digitala certifikat, men har man problem bör man uppdatera till senaste versionen.

Newbies, oerfarna användare, nybörjare, fish.
Några användare är oerfarna inom ämnet men de har en klient som vet vad det handlar om. Tyvärr förutsätter Outlook Express att alla som får ett mail som är signerat har ett certifikat, vilket ofta inte är fallet.

Det innebär att de tolkar det som att dom inte kan svara på dina mail, eller att dom får ett felmeddelande. Vad dialogrutan egentligen säger är att dom saknar ett certifikat och ombeds skaffa ett.

Då går man in under "verktyg" (under arkiv) och klickar ur "Signera digitalt" alternativet för svars-email.