Jun 27 2008

Säkra din dator och kommunikation

Publicerad av under Säkerhet

Sifo redovisar i en undersökning publicerad av Aftonbladet att drygt en tredjedel av svenskarna är för FRA-lagen. En ganska hög siffra enligt min åsikt och frågan är om denna tredjedel verkligen har förstått innebörden av lagen och hur den kan komma påverka dem. Det kan även vara så att man anser att e-post inte är likställd med ett vanligt brev som skickats via Posten då brevet är kuverterat och därmed inte går att läsa, såvida det nu inta var ett vykort som skickades, och därmed inte vara skyddat för insyn. E-post i all ära, skickas av de flesta okrypterat för att man troligen anser att det man skickar inte är hemligt eller av intresse för någon utomstående. Så vi fortsätter med andra ord att skicka våra elektroniska vykort som vem som helst kan läsa oavsett vilken typ av relation kommunikationen avser; familjeangelägenheter eller affärs relationer där vi även bifogar dokument. Oavsett FRA-lagens existerande eller ej så bör de flesta företag fundera över hur man kommunicerar och via vilka medier för att dra upp riktlinjer för hur det skall fungera. Får till exempel e-post inkludera affärsdokument som inte har krypterats? Även internt på företag kan det finnas anställda som gärna använder sina kunskaper i att avlyssna och samla in e-post, chatt och IP-telefoni data för egen vinning. Så det finns gott om argument till varför man bör se över hur och på vilket sätt man kommunicerar med omvärlden.

Jag märker själv att många anser att det är både svårt och dyrt att säkra upp kommunikationen; något som är en gammal och felaktig bild som verkar vara väl etablerad fortfarande. Svårt för att det blir teknikdrivet utan några egentliga mål på vad som skall uppnås och varför och därmed dyrt för att det är svårare att använda än vad det behöver vara och inte i relation till de egentliga affärskraven. Vidare så bör man även ställa sig själv frågan om man verkligen behöver säkra upp all kommunikation och samtliga system som finns inom verksamheten; allt beroende på de risker som anses finnas och på informations klassificering.

Tanken med denna artikel är ett ge en bild av vilka olika möjligheter som finns för att säkra upp innehållet på den egna datorn och hur ens egen kommunikation kan säkras upp på ett relativt enkelt sätt och framför allt att påvisa att det faktiskt går.

Vad kan krypteras?
De vanligaste åtgärderna för att säkra upp information och kommunikation är troligen en kombination av följande:

  • Kryptering av datorer
  • Kryptering av e-post
  • Kryptering av chatt
  • Kryptering av telefoni
  • Krypterad access till hemsidor

Även program som KeePass användas för att hantera användare id och lösenord till olika applikationer, system och hemsidor. För hantering av access till olika resurser på Internet är OpenID en öppen och fri standard som hanteras av OpenID Foundation. Dock så bör detta ställas i relation till de risker som finns med att samla accesser till en enskild applikation eller tjänstleverantör.

Kryptering av datorer
Att kryptera allt innehåll på en dator genom så kallad Full Disk Kryptering (FDK eller på engelska FDE; Full Disk Encryption (whole disk encryption)) är inget nytt utan har funnits och används länge. Även en del operativsystem inkluderar denna möjlighet och i andra fall kompletteras systemet med programvara som hanterar detta. Möjligheten att endast kryptera en vald del av disken genom partitionering eller om så önskas en virtuell krypterad volym som lagras på existerande okrypterade partition som systemet körs ifrån är andra varianter; med andra ord det finns otaliga sätt och kombinationer att kryptera information.

Allt är beroende på de eventuella krav som till exempel:

  • Måste både operativsystem (inklusive växlings fil och viloläges fil), program och användarinformation krypteras?
  • Skall användaren ha möjligheten att bestämma vad som skall krypteras eller inte?
  • Möjligheten till att använda multipla krypteringsnycklar?
  • Självförstörande av data genom att krypteringsnycklar raderas?
  • Stöd för nyckel förstärkning; till exempel genom fördröjning nyckelverifikation
  • Stöd för TPM (Trusted Platform Module) för lagring av dekrypterings nyckel?
  • Stöd för hårdvaru baserad kryptering eller acceleratorer?
  • Finns behov av att krypterad data är gömd och därmed försvåra lokalisering?

Ovan kan också kombineras med att användaren måste verifiera sin identitet med inloggnings uppgifter eller via smartcard alternativt biometrisk inloggning innan systemet överhuvudtaget startar operativsystemet.

Baserat på vilka krav som ställs så kan nedan lista över applikationer som har stöd Windows baserade system reduceras:

Av ovan är TrueCrypt ett bra kostnadsfritt alternativ för både full disk kryptering och kryptering av till exempel USB-minnen samt mycket enkelt att installera och konfigurera och prova hur full disk kryptering fungerar rent praktiskt. För den som gärna vill slippa använda mjukvaru baserad kryptering finns numera även hårddiskar som har stöd för BDE-kryptering (Bulk Data Encryption).

Kryptering av e-post
För kryptering av e-post finns det flertal olika varianter och gemensamt för dessa är att man använder sig av en privat och en publik nyckel för att hantera kommunikationen. Med den privata nyckeln låser man upp e-post som avsändaren i sin tur har använt den publika nyckeln för att kryptera e-posten innan den skickats till dig. Den svaga länken här är dels lagringen av den privata nyckeln som inte får komma i orätta händer samt lösenordet som används för att skydda den privata nyckeln. Skulle detta ske bör man återkalla den gamla nyckeln och skapa en ny.

Några krav avseende hantering av kryptering av e-post och hantering av krypteringsnycklar och lösenord:

  • Skall krypteringsnycklar lagras på smartcard?
  • Lösenordskydd i kombination med biometrisk skydd?
  • Längd på nyckeln?
  • Vilken form av e-post kryptering skall användas; ID-baserad (Identity-Based Encryption), Certifikat (S/MIME) eller nyckel (OpenPGP) baserad?

De flesta e-post klienter har stöd för S/MIME däribland både Outlook och Thunderbird som även kan kompletteras med stöd för OpenPGP.

S/MIME certifikat är troligen för de flesta det enklaste att använda sig av då allt som behövs är ett certifikat som adderas till sin e-post klient och som bland annat kan beställas från någon av följande aktörer:

Av ovan listade är Comodo troligen den aktör som har den enklaste rutinen för att beställa ett certifikat för privatpersoner. Dock så det enda sättet som beställarens identitet verifieras är genom den e-post som används vid beställning av certifikatet.

För stöd för OpenPGP baserad kryptering krävs installation av programvara såsom:

Kryptering av chatt
Kryptering av chatt är inte enkelt då själva klienten måste ha stödet inbyggd från början och något som flertalet av de mest använda klienterna saknar. Självklart finns det alltid undantag och Skype en sådan aktör som använder sig av branschen erkända krypterings standarder för att kryptera kommunikationen. Både MSN Messenger och ICQ saknar stöd för kryptering så för MSN Messenger finns tillägget Simp som adderar stöd för kryptering (båda parterna måste använda Simp för lyckad kryptering) så att chatt sessionen inte skickas i klartext. För ICQ får man se sig om efter en annan klient som har stöd för både ICQ och kryptering, bland annat chatt applikationen Pidgin (med tillägget Pidgin-Encryption) ger denna möjligheten.

För IRC finns det en del krypteringstillägg allt efter vilken klient som används men för mIRC, irssi och xchat finns bland FiSH kryptering som är relativ lätt att implementera.

Kryptering av telefoni
Kryptering av telekommunikation känns kanske för de flesta lite överdrivet och lite av överkurs för privat bruk men troligen av intresse för flertalet företag. Inte minst med tanke på att IP telefoni (VoIP) har uppvisats vara relativt enkelt att avlyssna internt på grund av avsaknad av kryptering även om man i en del fall har implementerat data kompression för att försvåra avlyssning. För hemanvändaren finns bland annat Skype klienten som krypterar all form av datakommunikation, dvs. både chatt och telefoni mellan Skype klienter (samtal ut via kopparnätet krypteras ej). För vanlig telefon och mobiltelefoni kan nämnas bland annat CryptoPhone som finns för satellit-, GSM- och för fast telefoni. För handdatorer och så kallad smarta telefoner finns bland annat TrustChip SD kort från KoolSpan som ger en tunnlad två vägs kryptering. För IP telefoni (VoIP) är det lite blandat på konsument sidan huruvida man har stöd för säker kommunikation eller ej och troligen ett krav som kommer att öka på sikt.

Krypterad access till hemsidor
För den enskilda individen är det inte mycket man kan göra när det gäller att kryptera sin kommunikation till hemsidor mer än att påtala behovet av det för den eller de står bakom hemsidan. Vid behov att dölja sitt ursprung finns möjligheten att köra via anonyma nätverk som till exempel Tor (The Onion Router) för att försvåra lokaliseringen av klienten – dock kvarstår problemet med avlyssning då trafiken skickas okrypterat. Ett annat alternativ är att köra via anonymitets server eller proxy. Även detta ger inget skydd för att kommunikationen kan avlyssnas mer än att försvåra spårning av klient datorn. Access via Tor nätverk eller andra anonymitets servers brukar som regel har stor påverkan på hastigheten ut på nätet. Det finns även här tillgång flertalet fritt tillgängliga anonymitets servers och kommersiella tjänster. Det man bör ha i åtanke när man väljer typ av tjänst är vart den är placerad samt om uppkopplingen sker direkt via Internet läsaren eller om installation av VPN-klient behövs för att tunnla (krypterad VPN-tunnel) den egna trafiken ut via tjänsteleverantörens nät. Sistnämnda är troligen att föredra då denna typ av uppkoppling är krypterad och försvårar spårning. Värt att nämna är att denna typ av tjänster inte går att gömma sig bakom vid brottsutredningar då loggfiler som regel lämnas ut om domstolsorder finns.

Exempel på svenska anonymitetstjänster:

Exempel på utländska anonymitetstjänster:

Summering
Som vid alla former av investeringar handlar det om att ställa kostnaden i relation till risken vi avser att förebygga. Det kan vara enkelt att implementera kryptering av e-post och telefoni internt – men det gäller även att de externa parter man kommunicerar med delar behovet av att säkra kommunikation och framför allt implementerar liknande lösning.

Kim Haverblad

Inga kommentarer ännu

Trackback URI | Kommentars RSS

Lämna kommentar

Du måste vara inloggad för att lämna kommentar.