Kryptert E-post

Denne artikkelen forsøker å forklare hva kryptert e-post er og ikke er på et enkelt språk. 


Innledningsvis 

Det er klart at kryptert e-post er en betydelig forbedring i forhold til tradisjonell e-post, likevel er det en del begrensinger som mange ikke er klar over. Krypter e-post er fremdeles e-post og har mye av den samme sårbarheten som tradisjonell e-post. 


I denne artikkelen skal vi se på hvordan en kryptert e-post ser ut, vi bruker enimplementering av OpenPGP til bilder i artikkelen. Oppsett og håndtering av krypteringsnøkler er utenfor artikkelens omfang. 


Artikkelen omfatter ikke andre krypterte meldingstjenester. 


Hva sendes i en kryptert e-post? 

Siden krypterte e-poster sendes gjennom samme servere som tradisjonell e-post, har en kryptert e-post samme internet-meldingshoder og kan derfor fanges opp og manipuleres på samme måte som tradisjonell e-post (se artikkel Uautorisert tilgang til e-post meldinger). 


Med andre ord; selve teksten (og vedlegg) en sender i meldingene vil være kryptert, men ingenting annet. 


Hvilke andre problemer finnes med kryptert e-post 

Siden det kun er meldingsteksten som er kryptert er det mulig for tredjepart å sette inn både tekst og meldinger i selve den krypterte e-posten, om den blir fanget opp. 


Dette betyr i praksis at det er mulig å sette inn hva som helst før “-----BEGIN PGP MESSAGE-----” og etter “-----END PGP MESSAGE-----”, se bildet under. 

 

   

  

Tillit til avsender 

Det aller største problemet med kryptert e-post er at det gir mottakeren et falskt inntrykk av at e-posten som har blitt mottatt er trygg. Dette er ikke tilfelle, det er kun opprinnelig meldingstekst og vedlegg som er kryptert. 


Kryptert e-post kan tvert om åpne for at mottaker blir angrepet av skadevare, tenk deg følgende scenario: 

  • En leverandør sender deg en kryptert e-post. 

  • Denne fanges opp av utenforstående underveis mellom serverne og de legger til “ekstra” vedlegg og tekst med skadevare før denne sendes videre gjennom de vanlige kanalene. 
    Dette kan for eksempel være en ekstra faktura som vedlegg, og en tekst som sier at det manglet ##### kr på siste innbetaling. 


Hvor sannsynlig er det at du hadde åpnet akkurat det vedlegget for å sjekke at det faktisk manglet noe på siste innbetaling? Som de aller fleste hadde du nok åpnet vedlegget siden det jo var en “trygg kryptert e-post”. 


Konsekvensen av en slik handling kan være at du får inn skadevare som løsepengevirus, som deretter sprer seg til alle mapper og filer du har tilgang til. 
Ofte vil dette da aktivere seg først flere måneder seinere, typisk i ferier eller langhelger. 


Konklusjon 

Selv om kryptert e-post er en forbedring i forhold til tradisjonell e-post, gir løsningen ingen fullverdig beskyttelse og krever at brukeren fremdeles må være observant i forhold til det som åpnes i e-postene.

 

Videre kan kryptert e-post gi en falsk trygghetsfølelse i forhold til det som mottas, noe som betyr at sikkerheten faktisk reduseres ved å innføre kryptert e-post. 

Login or Signup to post a comment