Kan vi snart kryptere mail?

Har ofte brugt NemID til at forsøge at kryptere mails. Særligt i erhvervsmæssig sammenhæng, hvor modtageren som regl (overraskende nok) er at finde i NemIDs adressebog.. desværre er modtageren ikke klar over at deres signatur, Nøglefil eller Nøglekort, kan bruges til kryptering.. så det ender som regl bare med at mailen bliver signeret.... Senest jeg var i kontakt med to potentielle nye banker foforsørgelse jeg at sende materiale krypteret med NemID, men 'det understøttede deres system ikke'

Jeg forsøgte for år tilbage at installere tilføjelsen i Thunderbird. Det virkede at sende til en kammerat; men jeg gik ikke videre. Og nu er det ikke sat op på en ny PC. Ulempen er, at den kun gøres med en klient, enten Thunderbird eller Outlook. Man ved ikke om modtageren kan læse beskeden. De fleste læser vel post på deres modbiltelefon / tablet? Rent brugsmæssigt skal man også huske at klikke af i menuen, at der skal krypteres. Det er for nemt at sende uden at gøre det, og så ryger den afsted uden signatur / kryptering. Thunderbird blev langsommere, fordi hver indtastet adresse skulle en tur rundt om NemID for at hente nøglen, hvis den kunne findes. Desuden kommer NemID til at vide, hvem jeg skriver til - usignerede som signerede. Det var kort og godt for bøvlet, når ingen alligevel kunne modtage beskederne.

...har vi faktisk en forholdsvis velfungerende løsning som hedder SikkerPost (SEPO, sjovt sammenfald af navn). Den blev indført med edag 2 eller 3 men nåede ikke ud til alm. mennesker. Der var (er ?) plugin til Outlook... Løsningen blev lavet af TDC og Tieto og ejes nu af DSI. Det kunne udvides til alm. mennesker men kræver en eller anden plugin til mailklienten samt den gamle udgave af Digital signatur, den med certifikat.

NB. Jeg er kun slutbruger på systemet som jeg er ret tilfreds med.

Der var et addon til Gmail, som der er skiven om på v2. Som jeg kan huske det, prøvet det, og det var nem. Men har helt "smidt" det væk. At være palle alene i verden hjælper jo ikke ret meget. Der er jo heller ingen der udskriver en konkurrence, hvor man kan vinde en bil, hvis man kan finde ud af at sende dem en kryptere mail.

Der findes et verdensomspændende net af PGP-nøgleservere, og det har der fundtes i mange år. Det havde min gamle PGP-nøgle fra 2008, som jeg havde glemt koden til. Så jeg lavede en ny og det gik fint. Jeg fik lavet en 2048 bit nøgle, der hedder C6A31137 - helt standard med gpg. Jeg burde nok have lavet en 4096 bit nøgle

Så lagde jeg min nøgle op der hvor vejledningen sagde at jeg skulle, men den server var så for langsom. Jeg lagde min nøgle op til en keyserver vhja. kommandoen

gpg --send-key --keyserver keys.gnupg.net C6A31137

Jeg bruger nu keyserver keys.gnupg.net - som er sat i min ~/.gnupg/gpg.conf

Der findes også GUI håndtering af dette, men jeg regner med at hr Makholm er CLI-orienteret.

For lidt over et år siden fik jeg brug for at sende "sikker mail" til HS. Siden skrev jeg om oplevelsen på KLIDs wiki her. Det sværeste var at finde et modtager-certifikat, der ikke var defekt.

(Det ser ud til at NemID er kommet med en ny version siden jeg skrev det.)

Darkmail https://darkmail.info/

skriv et brev med blyant og papir og send det med almindelig snail mail. Det er der garanteret ikke nogen der kigger i mere :-)

Hvorfor integrere med NemID? Det er kun dansk, og jeg vil da gerne lave globale løsninger. Og jeg kommunikerer ganske meget med ikke-danskere. Og så er NemID vel ganske afvigende fra standarder. Så jeg vil da foretrække en almindelig pgp/gpg løsning.

Eller kan NemID integreres i en pgp/gpg-løsning?

Og hvad med nøglerne, når NETS har lavet dem - og formodentlig med en bagdør til NSA/GCHQ/FE?

Bent, du skulle vel ikke have et link til denne?

Den gang vi havde digital signatur, var det sådan på Mac at den blev opbevaret i systemets hovednøglering. Når man så sendte mails fra Mail (Apples eget mailprogram), så blev de automatisk signeret og hvis man sendte en mail til en person, som havde sendt en signeret mail, så blev den automatisk krypteret. Jeg gætter på at Outlook sikkert har noget lignende? I hvertfald så virkede det helt af sig selv og de personer man normalt kommunikerede med fik så krypterede mails. Man kan vel sige at processen med at udveksle nøgler bestod i at man havde en eksisterende kommunikation, hvor en 3. part ikke kunne bryde ind og overtage. Det mest irriterende ved krypterede mails er natuligvis at det ikke virker på webinterfacet , mobiler osv. Og sekundært, så kan man ikke sende krypterede mails til mere end én person hvilket også begrænser anvendelsen. Ja, og så stoppede den fest jo altså, da vi fik NemID

Som Keld skriver er der nogle public key servere. Når jeg i Ubuntu opretter private of public nøgler, er der en indbygget funktion til at lægge public nøglen ud på serverne, hvor man også kan finde andres nøgler.

Ellers er der ProtonMail som supporterer end-to-end encryption og er efter min mening brugervenligt nok til ikke-teknisk kyndige. Det fungerer faktisk ret godt og de kommer med support for custom domains og apps senere på året.

Her to år efter Snowden burde krypteret mail jo være default, og nøgleudveksling noget som bare skete helt automatisk og transparent.

Exit spam og fishing.

Men feks Google har jo ingen interesse i at jeg krypterer min mail så de ikke kan minere mine mails...

Og hvad med nøglerne, når NETS har lavet dem - og formodentlig med en bagdør til NSA/GCHQ/FE?

PGP-nøgleserverene løser også kun distributionsproblemet. Der er ikke indbygget nogen sikkerhed i dem og jeg vil let kunne uploade en nøgle i dit navn.

I disse tider hvor alt hvad du skrev kan blive brugt imod dig, er det naturligvis bekymrende, hvis det er muligt for nogen at lave en falsk korrespondance i dit navn.

Man må også gå ud fra at NEM-ID - som minimum - logger når du ændrer din nøgle.

Uanset , så bør man jo holde sig 'for øje' at NEM-ID er en elektronisk fuldmagt, hvor du bare bemyndiger 'det underliggende system' til at udføre hvad du tror at du selv gør.

Det betyder at dem(*) med adgang til 'de underliggende systemer', vil kunne bilde disse systemer ind at en given bruger bemyndiger til >noget< .

(*) Jeg véd godt det er forbudt, og den mennesklige natur er at have en høj moral, - og at det da _må_ blive logget, osv.

K

Det betyder at dem(*) med adgang til 'de underliggende systemer', vil kunne bilde disse systemer ind at en given bruger bemyndiger til >noget< .

Hvis du spørger dem, som har ansvaret for systemerne, så vil du se en person, tillidsvækkende klædt som en bankansat, bedyre at det ikke kan lade sig gøre. Det han i virkeligheden siger er, at han ikke selv kan finde ud af det, og at han ikke kender til nogen som kan.

Bent, du skulle vel ikke have et link til denne?

Tænker du på https://www.mailvelope.com/

I den sidste ende er kerne-problemet jo, at dét at sende en krypteret mail er spild, så længe modtageren ikke understøtter den samme kryptering.

Lad os sige, at jeg gerne vil sende en krypteret email til min ven, der bruger hotmail. Så længe hotmail ikke understøtter krypterede mails, så er jeg jo nødt til at få min ven til at bruge en service eller klient, der kan modtage krypterede mails - og når vi har med hotmail-segmentet at gøre, så skal det jo være hassle-free.

Det er lidt det samme som krypterede SMS'er på f.eks. Android med CyanogenMod's WhisperPush service. Så længe modtageren ikke også bruger WhisperPush, så er det ligegyldigt.

og @ Benny Tordrup

Virtru Email Encryption findes som et addon til Chrome.

http://www.version2.dk/artikel/tidligere-nsa-ansat-udvikler-ny-sikker-e-...

V2 læser ikke deres kollegaer artikler, eller kommentarene, eller så har de en dårlig hukommelse :-)

Jeg har ved flere lejligheder leget lidt med NemID og krypteret mail og det har ingen af gangene været nogen fornøjelse. Nu er det nogle år siden jeg prøvede sidst så måske er fejlene rettet, men dengang var der adskillige problemer: 64 bit virkede ikke (selvom man hentede 64 bit pluginnet). Plugin virkede kun til gamle versioner af mailprogrammerne (fx Thunderbird 3 da 7 var frigivet). LDAP opslag slog kun op i gamle TDC certifikater og ikke i NemID'er. HVER GANG man bladrer forbi en krypteret mail skal man indtaste koder fra sit nøglekort. Hjælpen hos NemID omtaler stadig en "Signeret mail" som en "Sikker mail" (jeg vil tro at 99% af befolkningen vil mene at en "sikker mail" er en "krypteret mail"). Alle problemerne med manglende kompatibilitet kunne være løst ved at man selv lå inde med ens eget certifikat i stedet for at det skal hentes fra NemID's servere.

Er det ikke noget i den retning som der beskrives med Mac Mail som vi skal over i? Nu har jeg ikke Mac, men Mac har vel stadig det samme program, som vel stadig kan det som det kunne i fordums tid. Og Outlook, det har jeg heller ikke men måske har det samme funktionalitet. Jeg stoler dog ikke på hverken Apple eller Microsoft og lukket programmel. Brugte/bruger Mac-programmet PGP?

Jeg selv kører et CLI-program, og det har jeg gjort i over 30 år, så det er jo godt:-) (Mutt). Hvis man skal lave noget der fungerer for de fleste, skal man vel over i noget GUI, og iøvrigt væk fra web-løsninger, selv om de er praktiske. Jeg tænker Thunderbird kunne være en anbefalet løsning.

Jeg undrer mig så over at man ikke bare bruger en PGP-løsning, men vil over i noget med NemID. Det er jo ikke noget problem at lave PGP-nøgler. Er det risiko for spoofing? PGP har mulighed for at tilføje trust - og advarer mod nøgler der ikke er troværdige. Er det ikke det bedste system vi har? Og som hr. Makholm skriver, kan vi vel bygge oven på dette.

Er der andre systemer der kunne/skulle komme i betragtning? Jeg sigter på en global løsning.

Jeg forstår ikke rigtig interessen for NemID og S/MIME, er det en realistisk mulighed? Er den overhovedet brugelig nu, og har den nogen udbredelse? Jeg ser rapporter her om at folk ikke har kunnet bruge det (Leif Andersen, defekte certifikater).

Jeg fik gpg til at virke med hjælp fra en anden KLID-mand Luke Herbert blot for nylig, og jeg kan se at rimeligt meget af den mail, som jeg får, er signeret. Dvs det virker - på globalt plan, og der er ganske mange der bruger det.

Så hvis der er to systemer PGP/MIME - som virker, er globalt og i rimeligt udbredt brug, og et andet S/MIME - som er eksperimentelt, ikke har nogen rimelige implementeringer, kun er dansk hvis vi taler NemID, bygger på tvivlsomt system som NemID, og ikke er i brug, så er det li'som at jeg godt kan finde ud af hvad jeg vil satse på.

Hvad bruger folk af SW til at sende gpg-krypterede mails? Er det noget de vil anbefale?

Det er så nok bare min uvidenhed. Kan PGP/MIME og S/MIME sameksistere? Som sagt er det min oplevelse at PGP/MIME er ganske udbredt. Er S/MIME også udbredt i email? Er der en god vejledning til at opsætte S/MIME?

Jeg selv kører et CLI-program, og det har jeg gjort i over 30 år, så det er jo godt:-) (Mutt).

Mutt er "kun" 20 år gammelt¹, så det er godt klaret!

Ja, mutt er nok kun 20, de 30 år går på at jeg har kørt CLI email i over 30 år, før mutt var det mail, og derefter mailx, og MH har også været inde over.