Digital signatur og kryptering

Beskyt dine meddelelser med kryptering, og forsyn dem med en digital signatur, der garanterer modtageren, at de virkelig er fra dig. Denne artikel forklarer, hvordan du sætter Thunderbird op til at kunne underskrive digitalt og til at kryptere og dekryptere meddelelser for at øge sikkerheden.

Introduktion

De fleste forbinder til deres mailserver med en sikker forbindelse (ved at bruge "SSL"), men nogle servere tillader usikker forbindelse mellem brugeren og mailserveren. Herudover er der en risiko for, at meddelelsen sendes usikret fra afsenders mailserver til modtagers mailserver. En tredjepart kan i så fald opsnappe, læse og ændre meddelelsen på vejen mellem de to parter.

Når du underskriver en meddelelse med en digital signatur, forsyner du meddelelsen med information, der bekræfter din identitet, og som bekræfter, at meddelelsen ikke er blevet ændret af uvedkommende. Når du krypterer en meddelelse er den "forvrænget" og kan kun læses af den person, der har nøglen til at dekryptere meddelelsen. Digital signatur sikrer altså, at meddelelsen er fra den pågældende afsender, og at den ikke er blevet ændret undervejs. Mens kryptering sikrer, at uvedkommende ikke kan læse eller ændre meddelelsen. Digital signatur og kryptering kan bruges uafhængigt af hinanden; du kan således underskrive med en digital signatur uden at kryptere selve meddelelsen og omvendt.

Til kryptering af meddelelser kan du bruge et asymetisk krypteringssystem. I det system har hver deltager to separate nøgler: en offentlig krypteringsnøgle og en privat dekrypteringsnøgle. Når nogen ønsker at sende dig en krypteret meddelelse, bruger vedkommende din offentlige nøgle til at generere krypteringsalgoritmen. Når du modtager meddelelsen, skal du bruge din private nøgle til at dekryptere den.

Bemærk: Del aldrig din private nøgle med nogen.

Sikker mail med NemID

Eftersom kryptering i mails kræver, at både afsender og modtager benytter samme krypteringssystem, er den bedste løsning her i Danmark nok at bruge NemID til at kryptere med. Løsningen kaldes Sikker e-mail. Det er dog også muligt at benytte andre løsninger, hvis du har specielle behov, eller hvis du fx kommunikerer med udlændinge, der ikke kan benytte NemID.

Sikker e-mail kan bruges til to ting:

  • Kryptering – når ingen uvedkommende må læse din besked.
  • Signering – når modtageren skal være er sikker på, at du er afsenderen.

Du kan finde en vejledning til opsætning af Sikker e-mail på NemID's hjemmeside.

Bemærk: Det er betydeligt nemmere at opsætte NemID end alternative løsninger. Sikkerheden på den digitale signatur er også højere, da NemIDs brugere er identificeret af myndighederne, mens alternative løsninger benytter mindre sikker identifikation. Dette har især betydning, hvis du ikke kender modparten personligt.

Sikker mail med PGP

Vil du kommunikere sikkert med udlændinge, eller hvis du ikke ønsker at benytte NemID, kan du benytte PGP (Pretty Good Privacy). For at bruge PGP med Thunderbird, skal du først installere:

  • GnuPG: (GNU Privacy Guard): et underliggende kommandolinje-program, som indeholder et PGP-nøglesystem.
  • Enigmail: en tilføjelse til Thunderbird.

Disse to applikationer gør det også muligt at underskrive meddelelser digitalt.

Installation af GPG og Enigmail

For at installere GnuPG skal du hente den relevante pakke fra siden GnuPG binaries. Følg installationsvejledningen, der gælder for din pakke. For yderligere information om installation af PGP på specielle styresystemer, læs:

For at installere Enigmail:

  1. I Thunderbird: Klik på menuknappen, og klik så på Tilføjelser.
  2. Brug søgefeltet i øverste højre hjørne til at søge efter Enigmail.
  3. Vælg Enigmail mellem søgeresultaterne og følg installationsvejledningen.

Oprettelse af PGP-nøgler

Opret dine offentlige/private nøgler som følger:

  1. Klik på menuen Enigmail på menulinjen i Thunderbird, og vælg Setup Wizard.
  2. Vælg Start setup now og klik på knappen Næste >.
  3. Vælg I prefer a standard configuration (recommended for beginners) som vist på billedet nedenunder. Klik på knappen Næste > for at fortsætte.
    OpenPGP-1
  4. Vælg den mailkonto, du vil oprette nøglerne til. Du skal indtaste en adgangskode i feltet Passphrase, som bruges til at beskytte din private nøgle. Denne adgangskode bruges til at dekryptere meddelelser, så vælg en kode, du kan huske. Glemmer du koden, kan du ikke længere læse de krypterede meddelelser! Adgangskoden skal indeholde mindst 8 tegn, og den bør ikke indeholde ord, der findes i en ordbog. (Læs denne artikel på Wikipedia for information om, hvordan man laver en stærk adgangskode.) Indtast adgangskoden to gange, og klik på knappen Næste > for at fortsætte.
    Create_keys
  5. Når processen med at lave dine nøgler er fuldført, skal du klikke på knappen Næste > for at fortsætte.
  6. Guiden beder dig om at lave et tilbagekaldelsescertifikat (Revocation certificate), som du kan bruge, hvis sikkerheden omkring dit nøglepar er blevet kompromitteret, og du har brug for at informere andre om, at det ikke længere er gyldigt. Klik på knappen Create Revocation Certificate.
    Create Revocation Certificate
  7. Indtast din adgangskode og gem filen. Gem den gerne på et medie, hvor det kan opbevares sikkert fx en CD eller USB-nøgle. Hvis nogen får adgang til certifikatet, kan de bruge det til at gøre din nøgle ubrugelig. Klik på knappen Næste >.
  8. Guiden informerer dig om, at den har fuldført processen. Klik på knappen Afslut for at afslutte guiden.

Afsendelse og modtagelse af offentlige nøgler

Afsendelse af din offentlige nøgle via mail

For at modtage krypterede meddelelser fra en anden person, skal du først sende vedkommende din offentlige nøgle:

  1. Skriv meddelelsen.
  2. Klik på menuen Enigmail på menulinjen i Thunderbird, og vælg Attach My Public Key.
    AttachPublicKey
  3. Send mailen på sædvanlig vis.

Modtagelse af en offentlig nøgle via mail

For at sende krypterede meddelelser til en anden person, skal du først modtage og gemme vedkommendes offentlige nøgle:

  1. Åbn meddelelsen, som indeholder den offentlige nøgle.
  2. Dobbeltklik på den vedhæftede fil med filendelsen '.asc' nederst i vinduet. (Filen indeholder den offentlige nøgle.)
  3. Thunderbird genkender automatisk, at det er en PGP-nøgle. En dialogboks åbnes og spørger, om du vil importere (Import) eller se (View) nøglen. Klik på knappen Import for at importere nøglen.
    ImportPublicKey
  4. Du vil få vist en bekræftelse, når nøglen er blevet importeret korrekt. Klik på knappen OK for at færdiggøre processen.

Afsendelse af en digitalt underskrevet og/eller krypteret mail

  1. Skriv meddelelsen på sædvanlig vis.
  2. Klik på menuen Enigmail på menulinjen i Thunderbird, og vælg Sign Message for at underskrive en meddelelse digitalt. Vælg Encrypt Message for at kryptere en meddelelse. Du kan blive bedt om at indtaste din adgangskode inden meddelelsen underskrives eller krypteres.
    SignEncryptedEmail
  3. Hvis din mailadresse er associeret med en PGP-nøgle, bliver meddelelsen krypteret med den nøgle. Hvis mailadressen ikke er associeret med en PGP-nøgle, kan du blive bedt om at vælge en nøgle fra listen.
  4. Send mailen på sædvanlig vis.
Bemærk: Meddelelsens emne vil ikke blive krypteret.

Læsning af en digitalt underskrevet og/eller krypteret mail

Når du modtager en krypteret mail, beder Thunderbird dig om at indtaste din adgangskode for at dekryptere meddelelsen. For at se, om din indgående meddelelse er digitalt underskrevet eller krypteret, skal du kigge på informationslinjen lige over meddelelsesteksten.

Hvis Thunderbird genkender signaturen vises en grøn linje over meddelelsen:

GoodSignature

Hvis meddelelsen er krypteret og underskrevet viser den grønne linje også teksten "Decrypted message":

Signature&Encrypted

Hvis meddelelsen er krypteret men ikke underskrevet vises en grå linje:

EncryptedNotSigned
Bemærk: En meddelelse, som ikke er underskrevet, kan være fra en, der udgiver sig for at være en anden.

Tilbagekaldelse af din nøgle

Hvis du tror, at din private nøgle er blevet "kompromitteret" (en anden har haft adgang til filen, som indeholder din private nøgle), bør du tilbagekalde dit nuværende nøglesæt så hurtigt som muligt og oprette et nyt par. For at tilbagekalde dit nuværende nøglesæt:

  1. Klik på menuen Enigmail på menulinjen i Thunderbird, og vælg Key Management.
    RevokeKey
  2. En dialogboks åbnes. Sæt flueben ud for Display All Keys by Default for at se alle nøglerne.
  3. Højreklik på nøglen, du ønsker at tilbagekalde, og vælg Revoke Key.
  4. En dialogboks åbnes, hvor du bliver bedt om at bekræfte tilbagekaldelse af nøglen. Klik på knappen Revoke Key for at fortsætte.
  5. En anden dialogboks åbnes, hvor du bliver bedt om at indtaste din adgangskode. Indtast koden, og klik på knappen OK for at tilbagekalde nøglen.

Send tilbagekaldelsescertifikatet til de personer, du korresponderer med, så de ved, at din nuværende nøgle ikke længere er gyldig. Dette sikrer, at hvis nogen prøver at bruge din nuværende nøgle til at udgive sig for at være dig, ved modtagerne at nøgleparret ikke er gyldigt.

// Disse udmærkede personer hjalp med at skrive denne artikel:Joergen, Kim Ludvigsen, Stegemüller. Du kan også hjælpe - find ud af hvordan.

Hjalp denne artikel? Vent venligst...

Bliv frivillig hos Mozilla Support