Tölvumál - 01.09.2003, Page 8

Tölvumál - 01.09.2003, Page 8
Öryggi tölvupósts PGP gerir mögulegt að dulkóða texta, skrár og tölvupóst þannig að ekki er mögulegt að brjóta dulkóðunina upp. PGP er ágætis tól til að dulkóða tölvupóst eða rammlæsa hon- um, s/á www.pgp.com. Vandamálið er að notendanafnið og að- gangsorðið eru send á ólæstu formi, svokölluðu „cleartext“. Það þýðir að auð- velt er að „hlera“ samskiptin og hirða not- endaheiti og lykilorð. Með það í höndun- um er hægt að nota POP3 til að lesa öll skeyti sem bíða og segja póstþjóninum um leið að geyma skeytin áfram ósnert (leave mail on server) þannig að eigandinn verð- ur ekki var við að skeytið hefur verið les- ið. Rétt eins og í samlíkingunni um póst- kortið. En á leiðinni í pósthólfið er tölvupóst- skeytið ekki eins vel varið og póstkortið sem liggur óséð í póstsekknum, nei það er einfaldlega lesið frá upphafí til enda í hverjum einasta beini sem það hoppar um á leiðinni. SMTP samskiptamátinn er svo einfaldur að allt skeytið, þar með talið net- fang móttakanda og sendanda, efnislína („subject") og innihald skeytisins er geymt opið og auðlesið á leiðinni. Þetta þýðir að auðvelt er að taka afrit af skeyt- inu án vitundar eigenda þess. Og það sem verra er, hægt er að leita kerfísbundið í öll- um pósti eftir hvaða leitarskilyrði sem er, netfangi, orðum eða orðasamböndum sem koma fyrir í skeytinu. Tölvupóstur er sem sagt mun opnari en venjulegt póstkort þar sem hægt er að leita kerfisbundið í þeim. Til að þetta sé mögulegt þarf að koma fyr- ir hugbúnaði á beinum eða tölvum á þeim netum sem skeytið ferðast um. Til eru sögusagnir urn að stórveldin stundi skipu- legar njósnir um tölvupóst á þennan hátt á stöðum sem mikil internetumferð fer um, til dæmis við gáttir inn og út úr stórum ríkjum. Ég tel í raun trúlegt að slíkt sé gert í einhverjum mæli dag. Samkvæmt þessu eru trúnaðarupplýs- ingar betur settar á opnu póstkorti heldur en í tölvupósti. Hverjir af þeim sem sögð- ust aldrei myndu senda leyndarmál með póstkorti hafa sent leyndarmál eða við- kvæmar upplýsingar með tölvupósti? Hvað er tíl ráða? Er ekki hægt að læsa upplýsingunum á einhvern hátt? Staðreyndin er sú að SMTP og POP3 eru svo einhæfir að það er ekki hægt að koma dulkóðun fyrir innan þeirra samskiptamáta. Eina leiðin er að dulkóða skeytið áður en sendandinn afhendir það til SMTP þjónustunnar og afkóða það eftir að POP3 hefur verið notað til að sækja það inn í póstforrit móttakandans. Margar leiðir eru til en ég ætla að fjalla lítillega um forrit sem heitir PGP og stendur fyrir „Pretty good privacy". Höfundur forritsins heitir Phil Zimmer- mann. Saga hans er um margt forvitnileg, sérstaklega í ljósi þess að yfirvöld í heima- landi hans, Bandaríkjunum, reyndu að stöðva hann í að flytja forritið út vegna þess að það gæti ógnað öryggi Bandaríkj- anna með því að gera óvinum kleyft að senda læstan tölvupóst. Phil Zimmernan hefur farið víða og haldið fyrirlestra, með- al annars á Islandi fyrir nokkrum árum. PGP gerir mögulegt að dulkóða texta, skrár og tölvupóst þannig að ekki er mögulegt að brjóta dulkóðunina upp. Markmiðið er að ekki verði fræðilega mögulegt að brjóta læsinguna með svo- kallaðri „brute force“ aðferð með fyrirsjá- anlegu reikniafli allra tölva veraldar næstu átta árin. PGP er ágætis tól til að dulkóða tölvupóst eða rammlæsa honum, sjá www.pgp.com. Veltum aðeins fyrir okkur hvemig svona dulkóðun vinnur. Ef við notum að- gangsorð til að læsa pósti þá er aðgangs- orðið notað til að umskrifa textann og dulkóða hann. Síðan þarf að vita aðgangs- orðið til að endurheimta textann til baka. Dæmigerð aðgangsorð eru oft 6 stafir eða 48 bitar. Þetta þýðir að prófa þarf 248 möguleika til að brjóta dulkóðunina upp, það er nálægt 3xl014. Þetta er einfaldlega ekki nógu öruggt, því að ef einhver kemst yfir skeytið, þá hefur hann góðan tíma til að prófa þennan fjölda möguleika. Líftími leyndarmála getur verið langur, jafnvel mörg ár eða áratugir. Þetta er leyst með mun lengri aðgangsorðum, eða með skrám með mörgum tugum eða hundruðum stafa. Slík skrá er kölluð lykill. Tveir aðilar sem vilja læsa sendingu með einföldum lykli þurfa að skiptast á lyklum og þá er mikil hætta á að lykill komist í rangar hendur. Það er leyst á snilldarlegan hátt með svokölluðum ósamhverfum lyklapörum. Lyklapör og lyklakippur Þá hefur hver notandi tvær lyklaskrár sem eru búnar til samtímis og eru stærðfræði- lega skyldar. Önnur er kölluð einkalykill (private key) og hin er kölluð almennur 8 Tölvumál

x

Tölvumál

Direct Links

If you want to link to this newspaper/magazine, please use these links:

Link to this newspaper/magazine: Tölvumál
https://timarit.is/publication/239

Link to this issue:

Link to this page:

Link to this article:

Please do not link directly to images or PDFs on Timarit.is as such URLs may change without warning. Please use the URLs provided above for linking to the website.