Signera din epost

Publicerat: 4 december 2008 i Säkerhet

Företaget Comodo, som bland annat tillverkar brandväggar och antivirus, erbjuder gratis epost-certifikat till vem som helst.

Vad är fördelen med att signera ett epostmeddelande? Jo, mottagaren kan vara relativt säker på att det verkligen är du som har skickat brevet och att det dessutom inte har manipulerats på vägen till dig. Dagens epostsystem har oftast ingen som helst kontroll på vem som gör vad och det är riktigt enkelt att fejka avsändare:

homermail

Men det är alltså lika enkelt att skaffa ett epost-certifikat. Även om du normalt inte använder Internet Explorer är det ändå bra att använda den för just detta, eftersom den lagrar certifikaten i Windows. Firefox har en egen hantering av certifikat.

Gå till denna adress:

https://secure.comodo.com/products/frontpage?area=SecureemailCertificate

Fyll i förnamn, efternamn, epost och land. Glöm inte att kryssa ur valet för Comodo Newsletter (om du inte vill ha det).

En kort stund efter att du tryckt på Agree & Continue kommer ett mail från Comodo till epost-adressen du angett. Tänk på att du måste göra alla steg på samma dator och att du bara kan signera epost skickat från den epostadress du angav i ansökan. Men du kan alltid ansöka om flera certifikat, ett per epostadress du använder.

Mailet innehåller instruktioner om hur du går vidare. I princip är det bara att klicka på länken i mailet och klicka på Ok-knappen. Du bör komma till en sida som säger

Collection of Secure Email Certificate
Attempting to collect and install your Free Certificate…
Successful

Nu har du installerat ditt nya certifikat i datorn och kan börja signera din epost genom att kryssa i det valet i ditt mailprogram. Hur man gör det skiljer mellan olika program, här är några exempel:

(klicka på bilden för en större version)
signknapp

Oftast finns det en inställning som gör att alla nya mail signeras automatiskt. Leta i inställningarna om du vill ha det så. Jag har inte testat Gmail eller Hotmail. Det ska finnas en plugin som klarar det via Firefox tror jag, men det får ni kolla vidare på själva.

Så här ser det ut hos mottagaren när man signerar (och när man inte gör det):

signerat

Allt detta handlar om signering. Kryptering då? Jo, de som har fått din publika del av certifikatet (det skickas med i alla mail som du signerar) kan kryptera epost till dig. Du kan bara kryptera epost om du har mottagarens publika nyckel (i alla fall utan ett tilläggsprogram).

Programmet PGP (eller freewareversionen GnuPG) gör ungefär samma sak som jag har beskrivit, men det kräver att man installerar extra program.

För att se vilka certifikat du har, välj Start / Kör och skriv certmgr.msc. Under Personal / Certificates ser du alla dina personliga certifikat. Det kan redan finnas andra certifikat där, t.ex. från vissa banker eller ditt jobb.

Resten av inlägget behöver du inte läsa för att signera din epost, det är bara lite personliga reflektioner om säkerheten i detta…

Egentligen ser jag vissa problem med denna typ av lätttillgängliga certifikat, där den enda verifikation som krävs är att man har tillgång till epostadressens Inbox. Om jag ser en olåst dator hinner jag skaffa och exportera ett giltigt certifikat för den personens epostadress på några minuter och efter det kan jag utge mig för att vara den personen, signerat och allt. Även en enkel trojan ger mig så klart denna möjlighet.

Jag har signerat min epost av och till i över 6 år nu, men det har hittills varit lite bökigt. Inte att signera, det är bara en knapptryckning, men att få tag i ett certifikat som alla litar på. Jag använder Thawtes Freepost-lösning, vilket innebär att man kan få ett epost-certifikat om minst två befintliga Freepost-notarier ackrediterar dig (genom att de träffar dig personligen, får kopior på id-handlingar som de måste spara och man skriver under ett avtal). Är det fler notarier som ackrediterar dig kan du till slut själv bli en notarie. Fördelen med detta system är att det finns spårbarhet i vem som har gått i god för vem. Hur vet Comodo att du verkligen heter det du skriver i namnfälten? Jag skulle personligen inte våga gå i god för en okänd utan att ha ”torrt på fötterna”.

Eftersom det inte finns något enkelt sätt att se vilken Assurans (tillförlitlighet) ett certifikat har, urholkar Comodos lösning förtroendet för de mer ”seriösa” certifikatutgivarna som har fler kontroller på att du verkligen är du. Som slutanvändare ser man bara ikonen som säger att eposten är signerad, inte hur väl man har kontrollerat identiteten innan certifikatet gavs ut.

Men oavsett detta innebär ju ett certifikat i alla fall att personen har haft tillgång till Inboxen, så det ökar ändå trovärdigheten en hel del jämfört med att inte signera epost alls.

Certifikatet går att exportera och sedan importera på andra datorer som du använder, men tänk på behandla den exporterade filen som känslig. Man kan ändra det till Ej Exporterbart i ansökan genom att klicka på Advanced Private Key Options. Där kan man också välja att lägga certifikatet på ett smartcard.

Men nu till den verkliga frågan: Hur kommer jag åt Homers Inbox?  🙂

Annonser

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s