Kristoffer Qvists blogg om allt möjligt

Etikett: kryptering

Kryptering – kanske enklare än vad du tror?

Det var någon som en gång sa till mig ”det är inte du som bestämmer om du har rent mjöl i påsen”… Och det är helt sant. Vi människor gillar ju att döma andra, även om vi öppet kanske inte erkänner det. Just därför är kryptering någonting som alla bör få upp ögonen för.

Ofta skriver vi säkerligen om sådant som är privat eller personligt som ingen annan bör veta. Det kan handla om rent pinsamma meddelanden som skickats som man inte vill andra ska se. För att lösa det finns det några alternativ för att kryptera dessa.

Bild som visar skyddande sköld framför bits.

Data”. Bild av Peter-Lomas. Licens: CC0.

Kryptera meddelanden

Med meddelanden menar jag SMS-meddelanden. Jättebra och smidigt, men å andra sidan så har det en stor svaghet, nämligen mobilnätverket. För att lösa detta kan man använda kryptering. Tidigare har det varit svårt men i och med dagens mobilappar så går det tämligen enkelt att fixa detta.

Signal

Extremt enkel app, som dessutom kan installeras på datorn! Dessutom används Signal av självaste Edward Snowden. Det du behöver för att använda Signal är en smarttelefon (och telefonnummer). Du behöver inte oroa dig för någonting vad kryptering heter, det sköter Signal själv. Nämnde jag förresten att du även kan använda Signal för röstmeddelanden? Det enda tråkiga är att det kunde vara fler användare här.

Wire

Wire är en annan applikation som jag finner intressant. Detta verkar vara ett gott alternativ till Signal, om än detta har ännu färre användare. Det ser ut som att Wire är gratis för privat användning, men kostar om man vill använda i företag.

Kryptera e-post

Vad gäller e-post finns två sätt att kryptera e-post på: S/MIME och PGP. Syftet med detta blogginlägg är inte att vara tekniskt, därför kommer jag inte gå in på likheter och skillnader med dem. Istället kommer jag att nedan gå igenom lösningar som du kan använda för att kryptera din e-post.

Mailvelope

Mailvelope är ett plugin som du enkelt kan installera på din webbläsare (Firefox eller Chrome). Den kan du använda för att kryptera och avkryptera e-post. Dessutom stödjer den idag kryptering av filer (som i annat fall kan skickas okrypterat).

Enigmail

Om du har Thunderbird som e-postläsare så kan du använda Enigmail som plugin. Något mer teknisk att ställa in jämfört med Mailvelope, eftersom plugin-sidan måste öppnas i Thunderbird. När väl ”allt är på plats” så är det bara att köra.

Slutsats: Kryptering kan vara enkelt!

Kryptering behöver inte vara som de vill visa i Hollywoodfilmer med svarta rutor som matar siffror och bokstäver. Snarare ett enkelt gränssnitt som i Mailvelope eller Signal. På köpet har du förhoppningsvis även förbättrat din egna (och kontakters) integritet. Särskilt med tanke på de svagheter som finns i exempelvis mobila nätverk. Men då gäller det att få dina kontakter att också använda samma (Signal) eller snarlika (vad gäller kryptering för mail) verktyg.

GDPR och kryptering: Behövs egentligen det?

Bild som representerar GDPR och kryptering.

Regulation”. Bild av TheDigitalArtist. Licens: CC0.

Jag har stött på påståendet redan i några bloggar. Påståendet är ungefär GDPR kräver att du krypterar all personlig data. I verkligheten nämns kryptering fyra gånger i dataskyddsförordningen. I samtliga sammanhang nämns det inte som ett krav, utan snarare som en möjlighet. Vad är då kravet som man som organisation måste uppfylla? Jag stötte nyss på ett inlägg på Linkedin, vilket gjorde mig sugen att skriva detta inlägg…

Inlägget handlar om GDPR då man hanterar personuppgifter i en organisation. Det handlar alltså inte om privatpersoners egna privata kommunikation sinsemellan (skäl 18 och artikel 2 c i GDPR), eller då man utövar sin yttrandefrihet (tryckfrihetsförordningen samt yttrandefrihetsgrundlagen). Jag har själv också skrivit mer allmänt om detta i ett tidigare inlägg.

GDPR och kryptering: när kan det behövas?

Det hela beror på sitt sammanhang. För att ta ett exempel: när du loggar in på en hemsida, visas då en bild av ett hänglås i adressfältet? Förhoppningsvis finns det där, och det brukar betyda att anslutningen till sidan är krypterad. För den mindre tekniske personen betyder detta att ingen utomstående person kan tjuvlyssna på ditt lösenord. I alla fall inte vad gäller trafiken mellan din enhet och just den webbsidan. Då är det, enligt mig och flera andra, berättigat att använda kryptering. Google rekommenderar visserligen att alla sidor bör använda HTTPS. Den som utvecklar hemsidor bör känna till att Google belönar sidor som använder HTTPS i deras sök… Dessutom behöver det inte kosta någonting då Let’s Encrypt ger gratis certifikat som fungerar på de flesta nyare webbläsare.

Är kryptering överdrivet då?

Återigen, beror på sitt sammanhang. Hanterar man exempelvis känsliga personuppgifter lutar det med största sannolikhet åt det hållet. E-post är en kanal som man definitivt inte vill hantera personuppgifter oskyddat. Man kan nämligen likna e-post vid vykort. All e-post som skickas är nämligen skrivet i vanligt textformat. Men man kan förstås använda kryptering, genom ett webbläsartillägg såsom mailvelope. Använder man Thunderbird, och är något mer teknisk, kanske man vill använda Enigmail.

Jag har läst inlägg om att kryptera loggfiler vad gäller webbservrar. För: Det skapar ytterligare ett skydd mot att obehöriga skall kunna läsa loggfilerna. Emot: Krångligt att implementera.

Vad jag menar dataskyddsförordningen säger

Dataskyddsförordningen kräver inte explicit att man använder kryptering. Ordet kryptering nämns enbart fyra (4) gånger i dataskyddsförordningen. I nedan utdragningar har jag själv markerat ordet kryptering med fet text, så att det snabbare kan noteras av ögat:

För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen […] i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. […]

Utdrag ur skäl 83 av dataskyddsförordningen. Första nämnandet av ”kryptering”.

4.   Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd […], ska den personuppgiftsansvarige […] bland annat beakta följande:

[…]

e)

Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Utdrag ur artikel 6 av dataskyddsförordningen. Notera orden ”kan inbegripa”.

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art […] ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a)

pseudonymisering och kryptering av personuppgifter,

Utdrag ur artikel 32, punkt 1.

Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:

a)

Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

Utdrag ur artikel 34, punkt 3. Artikeln handlar om vilka åtgärder man måste ta vid en personuppgiftincident, d.v.s. då data kan ha kommit i orätta händer.

I ovan nämnda fall nämns inte kryptering som ett krav, utan som ett medel. Dessutom nämns inte vilken slags kryptering som bör användas i samtliga fall. För att göra en extrem jämförelse, så är ett caesarchiffer väldigt enkelt i jämförelse med AES-256.

Slutsats av GDPR och kryptering

GDPR är i större mån intresserad av integritet och transparens än av kryptering. Med detta menar jag att förordningen hellre ser att man sparar så få personuppgifter som möjligt, så kort tid som möjligt och att de berörda får ta del av hur man som samlar in personuppgifter hanterar dem.

Såvitt som jag förstår kan man enligt skäl 49 behandla personuppgifter om det är absolut nödvändigt (och är proportionerligt) att göra sina system säkra. Detta genom att förhindra obehörigt tillträde, motverka delning av skadlig kod och även motverka DDoS samt övriga skador på IT-system.

Alltså: dokumentera mer och var transparent.

© 2022 qvi.st

Tema av Anders NorenUpp ↑