Krypteret mail bliver allemandseje i 2015

Til ærgrelse for efterretningsbranchen bliver det fremover betydeligt nemmere at sende og modtage stærkt overvågningssikret e-post.

Google meldte i december ud, at firmaets Gmail-brugere i løbet af 2015 vil få mulighed for at sikre deres mailkorrespondancer så stærkt, at ikke engang Google selv kan læse med. Fold sammen
Læs mere
Foto: ANDREW KELLY

Mister du nattesøvn, fordi du spekulerer over, hvem der læser med, når du sender forretningshemmeligheder eller personlige detaljer med e-post til nær og fjern? Hjælpen er på vej.

Google meldte i december ud, at firmaets Gmail-brugere i løbet af 2015 vil få mulighed for at sikre deres mailkorrespondancer så stærkt, at ikke engang Google selv kan læse med. Microsoft og Apple arbejder angiveligt på lignende tiltag, og det samme gør en række mindre IT-virksomheder og uafhængige softwareudviklere.

»Det kommer i kølvandet på Edward Snowdens afsløringer af den massive overvågning. Firmaerne gør det, fordi de er bange for at miste kunder, som de jo skal leve af,« konstaterer IT-sikkerhedsekspert Peter Kruse fra CSIS.

Han forklarer, at krypteringsbølgen har været længe undervejs, men at udviklingen først nu for alvor er ved at tage fart. Og det kommer påpasselige internetbrugere til gode.

Selve teknologien, som størstedelen af den såkaldte end-to-end-sikkerhed er baseret på, har mere end 20 år på bagen og går under navnet PGP. Forkortelsen står for »Pretty Good Privacy« eller »temmelig god sikring af privatliv« frit oversat til dansk.

Men navnet er en underdrivelse, for selv med nær uendelig computerkraft til rådighed er det så vidt vides endnu ikke lykkedes at knække PGP-krypteringen. Det viser interne NSA-dokumenter lækket af Edward Snowden og offentliggjort kort før nytår af det tyske magasin Spiegel.

Af samme grund har politichefer fra både Europa og USA advaret mod den snushanesikrede kommunikation online.

»Efter Snowden-affæren er udviklingen eskaleret, og det er vi nødt til at tage en debat om. Det kører bare derudad, og alt skal være krypteret,« sagde Europols cybercrimechef, Troels Ørting, til Berlingske i oktober.

Han var dengang – lige som chefen for det amerikanske forbundspoliti, FBI, James Comey – ikke i tvivl om, at brugervenlig stærk kryptering som sikre PGP-mail vil give et ekstra forspring til de kriminelle.

Spørgsmålet er, om efterretningstjenesterne har skudt det efterforskende politi i foden med deres vidtgående brug af overvågning. Under alle omstændigheder er dagene, hvor krypteret kommunikation var forbeholdt spioner, talte, når NSA-sikre PGP-mail bliver allemandseje.

»Simpelthen for nørdet«

Rent praktisk fungerer PGP-metoden ved, at hver bruger har en personlig nøgle, som består af et unikt stykke kode. Nøglen har både en offentlig og en privat del, som bruges til henholdsvis at sikre beskeder til brugeren og til at åbne de tilsendte mail. Det har hidtil været en besværlig proces, forklarer Peter Kruse:

»Det har simpelthen været for nørdet og for bøvlet at nørkle med. Derfor er det vigtigt, at det nu bliver mere brugervenligt. Hvis alle opruster på kryptering, bliver det så meget vanskeligere for efterretningstjenesterne at overvåge,« siger Peter Kruse, som løfter sløret for, at det danske IT-sikkerhedsfirma CSIS i løbet af 2015 vil lancere sikker og »overvågningsfri« software til chat og datalagring i skyen.

»Med de tiltag, som vi også ser herhjemme, ser vi en nødvendighed af at kunne tilbyde de kunder, som gerne vil kunne beskytte deres data, en løsning, vi kan stå inde for,« siger Peter Kruse.

Er det en henvisning til loven om Center for Cybersikkerhed? (Loven er under kritik for at give Forsvarets Efterretningstjeneste udvidet mulighed for at overvåge den danske internettrafik, red.).

»Jeg vil ikke skyde efter nogen, men det er jo konsekvensen, når man har sådanne lovgivningsmæssige tiltag på vej. Som borger må man tage stilling til, hvor meget man vil tillade, at der bliver kigget i ens internettrafik. Det er det valg af frihed og et valg af privatliv, vi gerne vil tilbyde,« siger Peter Kruse.

This template (BMExternalArticleBundle:Content\ExternalArticle:Embedded/small.html.twig) should be overridden!

Han peger på, at de brugervenlige PGP-mailsystemer fra de store udbydere kun er første skridt på vej til at lægge ansvaret for internettrafikken i den enkelte brugers hænder. På den måde kan firmaerne undgå at blive tvunget til at udlevere brugernes data.»For det er noget, der koster kunder. Omvendt har politiet jo stadig mulighed for, hvis de beslaglægger maskinen hos en person, at opnå adgang til det krypterede indhold.«