PGP og Web of Trust

I mit indlæg Kryptér din e-mail beskrev jeg blandt andet hvordan pgp-nøgler gøres troværdige ved gensidig signéring. Jeg vil her lige uddybe begrebet lidt.

Når du importerer en andens offentlige pgp-nøgle, så vil PGP/GPG automatisk betragte den som “untrusted”. Der er så to måder, hvorpå du kan gøre nøglen trusted:

  1. Sæt “Implicit trust” via “Set Key Trust”-menuen i Enigmail. Personligt sætter jeg kun trust på nøgler jeg er 100% sikre på tilhører den påståede indehaver og jeg sætter trust-level til “I trust fully”, som er det næsthøjeste.
  2. Signér nøglen med din egen nøgle.

Sidstnævnte løsning er klart den bedste, men der er et par ting man skal holde sig for øje. Nedenstående billede viser Enigmails nøgle-signéringsfunktion.

Signéring af pgp-nøgle

Først og fremmest bør man aldrig signére en pgp-nøgle med mindre man har kontrolleret dens autenticitet grundigt – det vil sige man med god samvittighed skal kunne sætte hak i “I have done very careful checking”.

Dernæst bør man aldrig signére andres pgp-nøgle, uden at have fået deres accept. Hvorfor så ikke det? Jo, for hvad er det værd for mig, hvis 20 vildt fremmede mennesker pludselig har signeret min pgp-nøgle? Det kan foranlede andre til at sætte deres tillid højt, uden der egentlig er noget at have det i. Derfor bør man altid kryds-signére nøglerne – så man aftaler med hinanden, at nu signérer vi hinandens nøgler – samtidigt. Så har man også haft en del kommunikation frem og tilbage; dermed har man en vis sikkerhed for, at ejeren af den pågældende e-mail-adresse også er ejer af den pågældende pgp-nøgle – for via e-mail udveksler man information of Key ID og Key Fingerprint og de to skal så stemme overens med den public key, som man har importeret fra en keyserver.

Hvis man nu alligevel gerne vil signére en nøgle, men ikke har ejerens accept, så kan det også lade sig gøre. Man kan nemlig signére nøgler til lokalt brug. På ovenstående billede ses et afkrydsningsfelt med teksten “Local signature (cannot be exported)” og hvis sætter hak i det, så bliver signéringen ikke uploaded til nogen key server.

PGP og spam
Det siger sig selv, at PGP er et effektivt værktøj i kampen mod spam. Vel at mærke, hvis ellers alle dem man gerne vil have e-mails fra benytter PGP. Der er dog endnu en måde, hvorpå PGP kan jælpe dig i kampen mod spam.

De fleste vil jo egentlig gerne have kontaktinformationer liggende på deres hjemmeside, men efterhånden har de fleste lært, at hvis man har sin e-mail-adresse stående der, så finder spammernes søgerobotter dem – og så har man balladen.

Løsningen er at lægge sin offentlige pgp-nøgle på siden i stedet! Så kan folk importere den og vupti – indeholdt i den er din e-mail-adresse. Pænt skjult for søgerobotterne. Desværre kræver den model større udbredelse af PGP end tilfældet er i dag – men vi kommer ikke længere ved at blive ved snakken, så lad os sammen være den lille snebold, der starter lavinen :cool:.

Intelligent design – gammel sur vin, på nye designerflasker

Begrebet “Intelligent design” har fået en del medieomtale i de seneste dage. Viborgs biskop, Karsten Nissen, er en af dem der nu står frem og kræver, at ID får plads i biologiundervisningen på lige fod med Darwins udviklingslære. Mere skræmmende er det dog at se lektor i molekylærbiologi på Roskilde Universitetscenter, Ole Vang, citeret for følgende: »Som videnskabsmand finder jeg det mest plausibelt, at der har fundet et design sted. Som kristen tror jeg, at Gud har skabt verden. Så passer pengene.«

I en leder fra Jyllands Posten kommenteres Ole Vangs udsagng med ordende »Han må jo have bestået nogle eksaminer engang, selv om det kan virke uforståeligt, for logikken er ikke åbenbar« – hvilket jeg kun kan tilslutte mig. Manden er åbenlyst ude af stand til at bestride en lektorstilling ved et naturvidenskabeligt inststitut.

Carsten Agger fra MODSPIL har i dag et glimrende indlæg, der forklarer hvorfor ID ikke er en videnskablig teori – læs det her. Dermed falder også ethvert argument for, at ID skal undervises i folkeskolen – i hvert fald udenfor religionsundervisningen.

Rørpost

Måske kunne man installere et rørpost-anlæg, mellem ens hjem og den lokale lægevagt? Ungen ind, tryk på knappen og vupti – popper hun i favnen på vagtlægen :twisted:. Der kunne spares noget tid…

Nej, pjat – jeg skal vist bare være glad for, at jeg snart kan køre turen med lukkede øjne :mrgreen:.

Kryptér din e-mail

De fleste har hørt om Echelon – den hemmelige organistation, der aflytter al vores kommunikation, det være sig telefon, fax, mobiltelefon, walkie-talkie eller e-mails. Selvom plottet er som taget ud af en Dan Brown-roman, så er der gennem de seneste år taget flere initiativer, der krænker vores privatliv og lovens ord om brevhemmelighed.

Sådan behøver det ikke at være med dine e-mails! Du kan nemlig let kryptere dine e-mails med PGP eller GPG. PGP og GPG er fuldt ud kompatible, men sidstnævnte er open-source freeware under GNU-licens, så den bruger jeg og det er den jeg vil beskrive brugen af her.

Programellet

Det første du skal gøre, er at skaffe dig et ordentligt mail-program. Statistikken taler for, at du bruger MS Outlook Express og dermed er alt andet bedre – fra et sikkerhedsmæssigt synspunkt. OE kan også bruges med GPG (der er et OE-plugin her, men så må du selv klare resten :mrgreen:). Da jeg ikke selv bruger OE vil denne beskrivelse handle om Mozilla Thunderbird – du kan hente den engelske version her og den danske her.

Installation af Thunderbird er ligetil. Undervejs vil installationsprogrammet spørge om du vil importere informationer fra dit gamle mail-program – det skal du svare ja til. Du vil kunne importere både dine mails, eventuelle mapper, din adressebog og ikke mindst kontoindstillinger – altså alt det der du skulle taste ind, dengang du fik din e-mail-konto og som du ikke mere kan huske. Dit password skal du dog selv kunne – det kan Thunderbird ikke finde for dig.

Dernæst skal du have GPG installeret – du kan hente en Windows Installer her. GPG er også ligetil at installere – bare acceptér alle indstillinger. Opdatéring: OpenGPG kommer faktisk med dansk oversættelse, så hvis din Windows- og Thunderbird-installation er dansk-sproget, kan du med fordel vælge at installere OpenGPG på dansk.

Så skal du have en extension til Thunderbird, så den kan arbejde sammen med GPG. Den extension hedder Enigmail og findes her. Når du skal downloade Thunderbird-extensions, så husk lige at læse det der står med småt og som er gengivet her:

Extension Install Instructions for Thunderbird Users:
(1) Right-Click the link above and choose “Save Link As…” to Download and save the file to your hard disk.
(2) In Mozilla Thunderbird, open the extension manager (Tools Menu/Extensions)
(3) Click the Install button, and locate/select the file you downloaded and click “OK”

– trykker man bare på “Install Now”, så virker det ikke (de burde finde på noget andet at skrive, men de har sikkert travlt!).

Opdatering: Ovenstående link til Enigmail-extension’en peger nu på en Linux-version og ikke, som tidligere, på en Windows-version. Windows-versionen kan imidlertid findes her.

Gem xpi-filen på din harddisk, start Thunderbird, åbn extension manageren, klik på Install-knappen, find xpi-filen og klik OK. Thunderbird skal genstartes, før du kan bruge Enigmail.

Når du nu starter Thunderbird vil du have fået et ekstra menupunkt, der hedder “OpenPGP”. Klik på det og gå ned under “Preferences”. Under preferences skal du angive stien til GPG-programmet – altså hvor du installerede den. Hvis du gjorde som jeg skrev og ikke ændrede noget under installationen af GPG, så er den installeret i “C:\Program Files\GNU\GnuPG\gpg.exe”.

Lidt teknisk baggrundsviden

Nu har du al den nødvendige software, men du mangler det væsentlige – nemlig krypteringsnøglerne. Det er her, det bliver lidt langhåret, så hold nu godt fast – det er nemlig vigtigt, at du forstår princippet i PGP/GPG-kryptering.

Et tilbagevendende problem med krypertering, er at få dekrypteringsnøglen frem til modtageren, så modtageren kan dekryptere og læse indholdet. Man kan passwordbeskytte et Word- eller OpenOffice-dokument, før man sender det med e-mail, men så skal man jo ringe eller faxe passwordet til modtageren og det ødelægger lidt det praktiske. PGP løser problemet ved at anvende asymmetrisk kryptering. Jeg har fundet noget på Internettet, som forklarer princippet rigtigt godt – du finder siden her. Jeg bringer lige et citat derfra:

Problemerne ved symmetrisk kryptering blev faktisk først løst omkring 1976. To kreative herrer udviklede en matematisk metode, der førte frem til, hvad der kaldes den asymmetriske kryptering.
I stedet for een genererer man nu to nøgler. Dette sammen med de anvendte krypterings- og dekrypteringsmetoder betyder, at en meddelelse krypteret med den ene nøgle kun kan dekrypteres med den anden – eller omvendt.
Vi lader lige billedet stå lidt: en meddelelse krypteret med den ene nøgle kun kan dekrypteres med den anden – eller omvendt.
Heraf betegnelsen asymmetrisk kryptering.

Så skulle det være på plads :mrgreen:. Ok, jeg prøver lige at uddybe lidt :cool:.

Når du om lidt genererer din krypteringsnøgle, vil den være delt i to – en privat og en offentlig. Enigmail vil uploade den offentlige til en key-server (som så sørger for at sende den videre til andre key-servere). Den private skal ligge på din computer – eller endnu bedre, på en USB-stick, som du altid har i lommen. For at sende en krypteret e-mail skal du bruge modtagerens offentlige nøgle og den kan Enigmail hente fra en key-server – men det forudsætter naturligvis, at modtager også har et PGP-nøglepar. Modtagerens offentlige nøgle bruges så til at kryptere din mail med og så er det, jævnfør citatet ovenfor, kun modtagerens private nøgle, der kan dekryptere e-mailen igen.

Hvordan kan modtageren nu være sikker på, at e-mailen også er fra dig? Hvem som helst har jo adgang til hans offentlige nøgle og kan foregive at være dig? Jo, det sikrer du ved også at signere den krypterede e-mail. Enigmail/GPG udregner en unik talværdi for din e-mail (en såkaldt hash-værdi) og den krypteres så med din private nøgle. Derefter kan signaturen kun dekrypteres med din offentlige nøgle, som modtageren jo kan hente på en key-server. Modtagerens PGP/GPG-program beregner så også hash-værdien og hvis den er magen til den dekrypterede fra signaturen, så ved modtageren, at mailen ikke er ændret undervejs (for så ville hash-værdien ændre sig) og, at mailen kommer fra dig!

Man kan altså godt kryptere uden at signere, men det skaber tvivl om afsenderes identitet, så det kan ikke anbefales. Man kan derimod med fordel signere en e-mail, uden at kryptere den – så kan alle ganske vist læse e-mailen, men de kan også sikre sig, at den kommer fra dig, ved at kontrollere signaturen. Endelig kan man kryptere med sin egen private nøgle og dermed vil alle kunne dekryptere og læse din e-mail, men igen med sikkerhed for, at den faktisk kommer fra dig. I de to sidstnævnte tilfælde behøver modtager ikke selv have et PGP-nøglesæt, men skal blot have et dekrypteringsprogram.

Generering af nøglesæt

Nu kommer vi til det vigtigste – generering af dit nøglepar. Det gøres under menupunktet “OpenPGP”, hvor vi tidligere angav stien til GPG-programmet. Vælg under-menupunktet “Key Management” og du får et skærmbillede op, som ser sådan her ud:

Generer nye nøgler

– bortset fra at dit er tomt. Ovenstående “nøglering” indeholder allerede min private og min offentlige nøgle til min private e-mail-adresse og den offentlige nøgle til min arbejds-e-mail-adresse. Du kan se forskellen ved at kigge på kolonnen “Type” – nøglen i første linje står som “pub”, mens nøglen i anden linje står som “pub/sec” – førstnævnte er altså kun halvdelen af et nøglepar, mens den anden er et helt nøglepar.

Gå nu op i menupunktet “Generate” og vælg “New Key Pair”. Så får du et vindue op, som nedenstående:

Generer nye nøgler

I dit vindue vil der selvfølgelig stå dit eget navn og din e-mail-adresse og resten af felterne vil være tomme – dem skal vi nu have udfyldt.

Nu skal vi lige være lidt tekniske igen :roll:. Bemærk brugen af ordet “Passphrase”, istedet for “Password”. Det betyder, at du skal bruge en sætning, snarere end et enkelt ord. Jo længere og mere kryptisk en sætning du bruger, jo bedre er dit nøglepar beskyttet – men du skal også kunne huske dit passphrase! En god idé er at tage en sætning, der er let at huske, for eksempel en linje fra en sang:
“Lille Peter Edderkop kravled langsomt op”
– og så gøre den mere kryptisk:
“Li!!e Peter 3dderk0p krav!ed !angs0mt 0p”
– lille “L” er erstattet med udråbstegn “!”, stort “E” med et tretal “3” og lille “O” med et nul “0”. Alternativt kan du bruge en password-generator, som denne her, til at generere et kryptisk password – det skal så være mindst 8 tegn og helst 16, samt indeholde store og små bogstaver, specialtegn og tal. Sådan et password kan du (nok) ikke huske, så det skal du have skrevet ned og må have det frem, når du skal bruge det.
Under alle omstændigheder skal du skrive dit password eller passphrase ned og gemme det forsvarligt – falder det i forkerte hænder er dit nøglepar værdiløst, men det er nøgleparret også, hvis du glemmer password/passphrase.

En anden indstilling vi lige skal tage stilling til er “Key Expiry” – altså om nøglen skal have en fast forældelsesdag. Fordelen ved at sætte en udløbsdato på ens nøglepar er, at hvis man mister sin passphrase, så vil nøglen udløbe før eller siden og kan derefter ikke benyttes (se også efterfølgende afsnit). Hvis man kan huske sin passphrase, så kan udløbsdatoen udsættes.
Personligt foretrækker jeg nøglepar, der ikke udløber, kombineret med en god, lang passphrase, som jeg kan huske. Jeg kan ikke fortælle dig, hvad der er det rette for dig – det er et temperamentsspørgsmål.

Der er også et “Advanced”-faneblad i ovenstående vindue – her kan man vælge nøglelængde og krypteringsmetode. Nøglen skal mindst være 2048 bit og krypteringsmetoden skal være “DSA & El Gamal”. Kryptering med en lang nøgle tager ikke længere tid, så du kan roligt vælge 2048 eller mere – men i praksis er 2048 bit-nøgler ubrydelige og kun et radikalt gennembrud i computerudviklingen vil kunne muliggøre brydning af 2048 bit-nøgler.

Så er det bare at trykke på “Generate key”-knappen – men bemærk lige teksten nederst i vinduet. Du bør arbejde videre med computeren, mens nøglen genereres – det øger nemlig “graden af tilfældighed”, som nøglen genereres ud fra. Jo længere en nøgle du har valgt, jo længere tid tager det at generere den – men det er ovre i løbet af få minutter.

Afslutningsvis bliver du spurgt, om du vil lave et “Revocation Certificate” – og det vil du gerne! Det er nærmere beskrevet lidt længere nede, men kort fortalt skal du bruge dit “Revocation Certificate”, hvis du mister din passphrase. Det er derfor yderst vigtigt, at du gemmer certifikatet på en dvd eller cd-rom og gemmer forsvarligt, allerhelst i en bankboks. Blot må den ikke ligge på din computer, for så er du på den, hvis computeren chrasher eller bliver stjålet – som skrevet står:

Revocation Certificate

Så er der kun én ting vi mangler at gøre, nemlig at offentliggøre din nøgle – det vil sige uploade den til en offentlig keyserver. Du burde nu stå i vinduet “OpenPGP Key Mangement” og her skal nu gerne være én nøgle, fremhævet med fed skrift – nemlig dit nye nøglepar af typen “pub/sec”. Markér dit nøglepar, gå op i menuen “Keyserver” og vælg “Upload Public Keys”. Du kan nu vælge mellem forskellige keyservers, men benyt bare den første den bedste – det har virket for mig.

Så er du klar :mrgreen:. Men læs nu lige resten, alligevel….

Web of Trust

Har PGP så slet ikke nogen ulemper? Jo, indtil flere.
Den største ulempe er tilliden til offentlige nøgler. Lad os forestille os, at du modtager en e-mail, der angiveligt er fra mig – behørigt signeret med PGP. Problemet er nu, at hvem som helst kan lave en e-mail-adresse i mit navn og lave et tilknyttet PGP-nøglesæt. Dit mail-program vil blot kunne se, at afsenderens e-mail-adresse og PGP-nøgle hører sammen, men ikke om det rent faktisk er mig, der har den pågældende e-mail-adresse.
På samme måde kan hvem som helst kan tilknytte et nyt PGP-nøglesæt til min eksisterende e-mail-adresse og dermed få modtageren til at tro, at mailen er sendt fra mig.

Dette problem forsøges løst ved, at man signerer hinandens offentlige nøgler – men først når man er helt sikker på, at nøglen tilhører den man tror. Det gør man ved at ringe til vedkommende eller ved at bede om en bekræftelse på Key ID og Fingerprint. Min offentlige PGP-nøgle har for eksempel Key ID: 0x441CAE98 og Fingerprint: C44D 2494 69B8 3DD8 AF71 602D C42F 799D 441C AE98.

Hele min offentlige nøgle er:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.21 (MingW32)
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=CDkG

-----END PGP PUBLIC KEY BLOCK-----

Updated 2013-09-12 with new key. The old key has been revoked. *Do not* sign the new key without consulting me first, thank you.

– den kan du klippe ud og gemme ved hjælp af Notepad – filtypen skal hedde “.asc”. Så kan du importere den ved hjælp af Enigmail og kontrollere, at den har samme Key ID og Fingerprint, som angivet ovenfor.

Revocation

Det andet problem med PGP-nøgler er annullering af dem – også kaldet “revocation”.

  • Mest almindelige problem er, at man har glemt sin passphrase eller mistet sin private nøgle på grund af harddisk-chrash eller lignende. I sidstnævnte tilfælde har man selvfølgelig sin backup-diskette eller -cd-rom – den huskede du at lave, ikke? Uanset hvad, hvis man ikke mere har adgang til sin private nøgle, så har man et problem. Du kan selvfølgelig lave et nyt nøglepar, men den gamle offentlige nøgle ligger stadig ude på key-serverne og folk vil stadig kunne bruge den, til at sende krypterede e-mails til dig, som du ikke vil kunne dekryptere.
    Du er nødt til at annullere – revoke – dit gamle nøglepar, men det kræver normalt, at du har adgang til din private nøgle. Det er her du skal benytte det “Revocation Certificate”, du lavede tidligere i processen. Med certifikatet kan du annullere dit nøglepar, uden at skulle bruge din private nøgle eller passphrase. Det er derfor yderst vigtigt, at du gemmer certifikatet på en diskette, cd-rom eller skriver det ud på papir til senere indskanning og i øvrigt opbevarer det forsvarligt og sikkert – helst under lås og slå, for får uvedkommende fat i dit “Revocation Certificate”, kan de naturligvis også annulere dit nøglepar og det er irreversibelt. Når et nøglepar er annulleret kan andre ikke mere bruge det til at kryptere e-mails til dig, men du kan stadig selv bruge det, til at læse tidligere modtagne e-mails.
  • Forestil dig, at du har din private nøgle liggende på din computer, behørigt beskyttet med en god passphrase. Nu opdager du så, at nogen har installeret en trojansk hest på din computer, som registrerer alle dine tasteanslag. Dermed kender nogen nu din passphrase og har sikkert også kopieret din private nøgle. “Så skynder jeg mig da bare og ændrer min passphrase”, tænker du måske – men det dur ikke! For på crackerens kopi af din private nøgle, er passphrasen stadig den samme :twisted:.
    Du har derfor kun én mulighed – du må annullere dit nøglepar. Denne gang behøver du ikke dit “Revocation Certificate”, men skal blot højreklikke på din nøgle i Enigmail og vælge “Revoke”. Når du har accepteret advarslerne vil din nøgle blive annuleret. Du kan selvfølgelig også annullere ved hjælp af certifikatet, som ovenfor, men det er ikke bedre.

Når dit nøglepar er annulleret må du begynde forfra med at generere et nyt og opbygge et Web of Trust – så pas godt på dit nøglepar og brug en hammergod passphrase. Husk, det er bedre at have en lang og kryptisk passphrase, som man er nødt til at skrive ned for at huske, end en kort og simpel, som man kan huske. Så skal man selvfølgelig passe vældig godt på det stykke papir og for eksempel ikke skrive “Min PGP passphrase” øverst på papiret! Det bedste er selvfølgelig en lang, kryptisk passphrase, som man alligevel kan huske :cool:.

Stort tillykke til Andrea & Emma

DannebrogPræcis i dette øjeblik, for 1 år siden, så Emma dagens lys – i form af operationslamper på Herlev Sygehus – for første gang. 2 minutter senere kom Andrea så til verden, lidt mindre og lidt besværet i sin vejrtrækning, men ellers også sund og rask.

De to mest pragtfulde piger, i hvert fald i deres forældres øjne :worship:. Vores opfattelse blev nu delt af personalet på barselsgangen, hvor vi tilbragte den næste uge med at få styr på den store opgave. Det lykkedes nu langt fra, så det er en stor lettelse at have bragt pigerne igennem deres første år – puha, det har været hårdt arbejde og der er stadig ting vi ikke har styr på :roll:.

Det er nu alligevel gået stærkt, det første år, og sikke de har udviklet sig. Emma lærte først at kravle for 2 måneder siden, mens Andrea har kravlet siden slutningen af maj. I går tog Emma revanche, da hun slap sit greb i mor og gik 2 meter, uden hjælp :mrgreen:. Andrea forsøger ihærdigt og kan da også godt stå uden støtte, men det driller lidt med at flytte fødderne :roll:. Der er altså også bare så meget man skal lære, i den størrelse.

Faster og de to kusiner kommer på besøg i dag – de må undvære far, for han skal på arbejde – og der skal serveres lagkage. De første gaver er kommet med posten og endog deres to første fødselsdagskort, fra Farmor og Farfar. Så dagen skal nok blive en fornøjelse.

I farten må vi ikke glemme halvkusine Heidi, som også har fødselsdag i dag – tillykke også til dig.