Kronikk

Kryptering av nettrafikk

  • Ingeborg Senneset
    Journalist

Google vet hva Gmails e-poster inneholder. De tjener penger ved å vise deg annonser som handler om det samme som e-posten din. Dermed kan også NSA be om en kopi av den, skriver Bjørn Stærk. GOOGLE/EXPERT/ REUTERS/JASON LEE

Kryptering gir deg kontroll over hvem som ser dataene dine. Men noen typer kryptering gir deg mer kontroll enn andre.

Kronikk
Dette er en kronikk. Meninger i teksten står for skribentens regning.

Dette er andre del i en serie på fem artikler om nettsikkerhet.

Del 1:

Les også

Du har kanskje mer å frykte fra en bitter ekskjæreste enn fra etterretningsagenter

Del 3:

Les også

«Å bruke nettet på vanlig måte er som ubeskyttet sex»

  • Del 4: Sikrere på nettet: Passord
  • Del 5: Tror du at du blir overvåket av vannkokeren din?
    For å bli sikrere på nettet må du vite litt om kryptering. Det burde ikke egentlig være slik. Egentlig burde all trafikk på nettet være ferdig kryptert slik at du ikke trenger å tenke over det. Du behøver ikke forstå hvordan en nettleser eller webserver fungerer for å lese denne artikkelen. Det bare fungerer.

Slik er det dessverre ikke med kryptering. Det brukes ikke alle steder det burde brukes, og selv når det brukes må du kanskje vite om det for å ta det i bruk.

Kryptering

Kryptering er å skjule informasjon for de som ikke har den riktige nøkkelen eller passordet. Trafikken på internett går ofte ukryptert. Det vil si at hvem som helst som lytter på linjen kan se hva du sender. Og det er mange som kan lytte.

Har du ikke satt passord på det trådløse nettet hjemme?Hvis du bruker et trådløst nettverk uten passord kan for eksempel alle som befinner seg i nærheten av deg avlytte deg. (Har du ikke satt passord på det trådløse nettet hjemme? Da bør du håpe at du ikke har noen slemme, IT-kyndige naboer.)

Kryptering forhindrer dette.

Hemmelige meldinger

Kryptering bygger på matematikk. Hvis matteteorien stemmer og er brukt riktig, er det bare de som er ment å forstå meldingen som gjør det. Men du trenger ikke forstå matematikk selv for å forstå kryptering.

Ekte kryptering er det samme, bare med avansert matematikk i stedet for Harry Potter.Tenk deg at du skal sende en hemmelig melding til en nær venn som er under overvåkning. Da dere var barn ble dere frelst på Harry Potter på en sommerleir, og du vet at vennen din har den samme utgaven av den første boken stående i bokhylla som deg.

Du sender meldingen: «Ord 5 på linje 4 fra side 51 i boka fra den sommerleiren du vet.» Dette er første ordet i meldingen. Så gjør du det samme for det neste ordet, ord for ord, til meldingen er ferdig.

I dette tilfellet er Harry Potter-boka en krypteringsnøkkel , og det er vanskelig for en overvåker å knekke koden uten å bryte seg inn og bla i bokhyllene deres. Ekte kryptering er det samme, bare med avansert matematikk i stedet for Harry Potter.

HTTP eller HTTPS

Ta en kikk på URL’en til et par av nettstedene du har åpne akkurat nå. Begynner de med HTTP eller HTTPS? Hvis det står HTTP er forbindelsen mellom nettleseren og serveren ikke kryptert. Alle som står mellom deg og nettstedet kan se at du besøkte denne adressen, og vite hva du leste.

Hvis det står HTTPS (S for Secure) er forbindelsen kryptert. Overvåkeren vet at du gjorde noe på dette nettstedet, men de ser ikke hva.

De siste årene har flere og flere nettsteder gått over til HTTPS, spesielt eposttjenester og sosiale medier. I blant kommer du til den krypterte utgaven automatisk, men ikke alltid. Hvis du går til http://no.wikipedia.org kommer du til en ukryptert side. Går du til https://no.wikipedia.org kommer du til en kryptert side.

Du må selv vite at

S for Securedu vil ha den krypterte. Dette er tungvint. Du kan løse dette ved å bruke HTTPS Everywhere. Den gjør at nettleseren automatisk bruker kryptering hvis nettstedet støtter det. Du bare installerer det, og så er du ferdig med det.

Ingen tryllestav

Kryptering er ingen tryllestav. Derfor trenger du å vite mer om kryptering enn om det er i bruk eller ikke. Det hender at de matematiske teoriene en krypteringsteknologi bygger på ikke stemmer. Og de blir ofte brukt på feil måte. Da bryter alt sammen, som en lås som kan åpnes med en skrutrekker.

Derfor ansetter amerikansk og britisk etterretning de beste matematikerne de kan få tak i, og lagrer alle krypterte data de fanger opp. De håper at de en dag skal klare å knekke kodene. Og derfor jobber de aktivt for å sabotere krypteringsverktøyene vi bruker, slik at de kan lytte på oss når vi tror vi er sikre.

Snowden-avsløringene tyder på at god kryptering, brukt på riktig måte, faktisk fungererDette viser bare hvor viktig god kryptering er. Ingen vet sikkert hvor langt NSAs matematikere har kommet i å knekke krypteringen vi bruker, eller hvor mange år det tar før de gjør det. Men Snowden-avsløringene tyder på at god kryptering, brukt på riktig måte, faktisk fungerer. Dette er en av de få gode nyhetene Snowden har gitt oss.

Svak kryptering

Problemet er at krypteringen ikke alltid er utført riktig. Heartbleed -feilen som ga IT-verdenen panikk nylig kom av en tabbe i et program som brukes av mange HTTPS-nettsteder. Det var en enkel tabbe, en sånn en programmerer kan gjøre hvis man er litt trøtt en dag. Men den ødela alt. (Her er en enkel forklaring.)

De tjener penger ved å vise deg annonser som handler om det samme som e-posten dinOg selv om noen steg i forbindelsen din er krypterte, er det ikke sikkert at alle er det. Se for deg at du sender en e-post via GMail. Da er forbindelsen mellom deg og Google kryptert med HTTPS. Men Google selv vet hva e-posten inneholder. Det er slik de tjener penger, ved å vise deg annonser som handler om det samme som e-posten din. Dermed kan også NSA be om en kopi av den.

Og når Google sender den videre til mottakeren går den kanskje helt ukryptert. For noen år siden sa man at e-post er like usikkert som et postkort. Det er ikke fullt så ille lenger, men du har ingen kontroll over om forbindelsen er kryptert.

Ende til ende

Det beste er å bruke «ende-til-ende-kryptering». Da krypterer du ikke bare forbindelsen til serveren, men selve meldingen, hele veien fram til mottakeren. Da er det kun deg, og de du velger, som har mulighet til å se dataene, ikke NSA eller e-postleverandøren din.

Dette er vanskelig. Hvis du vil gjøre dette med e-post bruker du PGP, som er tungvint å bruke. Glenn Greenwald gikk nesten glipp av hele Snowden-lekkasjen fordi han ikke fikk til å installere PGP. Men hvis du vil sende e-post som ikke lar seg avlytte er det det du skal bruke. Det er ikke nok å bruke en «sikker» e-postleverandør.

Merk deg begrepet: Ende-til-ende-kryptering Chat-verktøyet OTR – Off the Record — er lettere å bruke. Det kan brukes sammen med programmet Pidgin til å chatte sikkert på mange forskjellige meldingstjenester, som Google og Yahoo. Da er hele samtalen kryptert fra ende til ende.

Merk deg begrepet: Ende-til-ende-kryptering . Dette vil bli viktig i årene som kommer, hvis vi vil motarbeide masseovervåkning på nettet. Hvis du er teknologisk oppegående, bør du lære deg slike verktøy selv om du ikke trenger dem selv, slik at du kan installere dem for noen som trenger det.

(Visste du forresten at du kan sende krypterte tips til Aftenposten?)

I morgen: Anonymitet og Tor. I mellomtiden, installer HTTPS Everywhere. Det er bare et lite skritt, men det er få grunner til å la være.

Tag: #nettsikker

Les flere artikler av Bjørn Stærk på essays.bearstrong.net.

Les mer om

  1. Kronikk

Relevante artikler

  1. DIGITAL

    Unngå hackerne med disse fem triksene

  2. DIGITAL

    Unngå hackerne med disse fem triksene

  3. VITEN

    Vår digitale løsaktighet er vårt ansvar | Simen Gaure

  4. NORGE

    Securedrop nyinstalleres for å bedre sikkerheten

  5. NORGE

    Ny trend: Hackerne gjemmer virusene - mange norske bedrifter er ubeskyttet

  6. VERDEN

    Den siste CIA-lekkasjen gir en pekepinn om hvilke verktøy kriminelle snart vil bruke