Vad är mailkryptering och PGP?

En vanlig missuppfattning är att man behöver ha oärliga avsikter för att vilja dölja innehållet i sin e-post. Något som naturligtvis inte stämmer. För på samma sätt som vi kan vilja skicka igenklistrade brev istället för vykort som kan läsas av vem som helst, kan vi vilja adderar ett baslager av skydd för vår digitala kommunikation.

Genom att använda mejlkryptering blir mejlen bara läsbara för mottagaren, detta uppnås genom mjukvara som ska vara installerad hos både sändare och mottagare och ett smart system med offentliga respektive privata nycklar som kan låsa och låsa upp det som skickas.

Den offentliga nyckeln kan alla använda, ungefär som en låst brevlåda med brevinkast, men det behövs naturligtvis också en privat nyckel för att öppna brevlådan och kunna läsa försändelsen.

Varför behövs det?

Det är mycket lätt att avlyssna mejlkonversationer för den som vill. Även om det mesta inte innehåller några större hemligheter kan det finnas skäl att använda kryptering både i privata och officiella sammanhang.

Journalisten som jobbar på ett scoop vill förstås inte att den information som samlas in via mejl riskerar att hamna i fel händer. Den kände visselblåsaren Edward Snowden använde också kryptering för kommunicera med de journalister han var i kontakt med.

Men även privatpersoner som behöver mejla portkoder, lösenord, kontouppgifter och adress eller känsliga privata meddelanden kan ha stor nytta av att kryptera mejl. Det är relativt enkelt och därför finns det egentligen inga skäl att låta bli.

Det finns de som påstår att förekomsten av kryptering skulle öka risken för attacker men så är det inte, däremot ger kryptering med PGP en betydligt högre säkerhet för alla som inte vill att medicinska data, kontrakt eller jobbavtal etc. ska kunna läsas av nästan vem som helst som är nyfiken nog. PGP står för pretty good privacy, och det är en krypteringsmetod som ger utmärkt skydd för den som vill kryptera sina mejl.

Så fungerar det i korthet

Till att börja med måste både avsändare och mottagare av det som ska krypteras ha lämplig programvara installerad i sina datorer. PGP-program finns gratis att ladda ner från nätet, det finns varianter för de flesta operativsystemen och olika mejlprogram.

Med hjälp av ett sådant PGP-program går det att skapa dels en publik krypteringsnyckel, dels en privat. Den publika offentliggörs på lämpligt sätt så den, eller de personer som är mottagare kan importera den till sina datorer.

Alla användare måste dessutom skapa sina egna, privata nycklar. Mejlet som ska skickas krypteras sedan med den från mottagaren hämtade och importerade offentliga nyckeln innan det sänds iväg, mottagaren måste därefter använda sin privata nyckel för att dekryptera texten. Det behövs alltså både en publik (offentlig) och utlånad krypteringsnyckel samt en privat nyckel för att kunna låsa upp och läsa ett krypterat mejl.

Tänk på den publika nyckeln som ett öppet kassaskåp som lånats ut av den blivande mottagaren, när någon använder den nyckeln kan det jämföras med att lägga en försändelse i skåpet och slå igen dörren så skåpet går i lås. Den som vill komma åt försändelsen måste ha tillgång till kassaskåpets unika, privata nyckel för att låsa upp.

Den privata nyckeln har ytterligare en funktion som gör att den som låser upp också lämnar sina ”fingeravtryck” i form av en digital signatur som gör att det i efterhand går att verifiera vad som hänt med försändelsen.

Den offentliga nyckeln är alltså till för att delas ut och den kan göras tillgänglig på olika sätt. Skicka via mejl är en metod som kan fungera om det bara är ett fåtal personer som behöver den. Det går också att publicera den på en hemsida men då är det förstås viktigt att det är lätt att hitta just den hemsidan annars blir det för opraktiskt.

För att förenkla den här processen finns därför så kallade nyckelservrar som samlar och även lämnar ut publika nycklar på begäran. Offentliga nycklar som görs tillgängliga på det här viset genomgår ett kvalificeringssystem så det säkerställs att de går att lita på.

Hur säkert är det?

Ingen kryptering kan ge ett fullständigt skydd, den som har kunskap och resurser kan alltid knäcka koden och därmed få tillgång till den information som krypterats. PGP ger dock möjligheter att öka säkerheten rent allmänt och även extra säkerhet genom möjligheten att välja längre kodsträngar eller att ge den offentliga nyckeln en begränsad giltighetstid. Detta är dock överkurs för de flesta vanliga användare.

Det som däremot är enormt viktigt är att den privata nyckeln förblir privat. Kommer den i orätta händer så kan fel personer dekryptera och signera i falskt namn. Den privata nyckeln måste därför alltid skyddas av ett riktigt starkt lösenord.

Kryptering med PGP är ett relativt enkelt sätt att säkra upp sin mailkommunikation och lämpar sig för både privatpersoner och anställda vid företag. Det är en viss startsträcka, men när väl program är installerade och metoden har satt sig är det inte svårare att skicka krypterade mail än vad det är skicka okrypterade.