Tölvumál - 01.09.2003, Qupperneq 9
Öryggi tölvupósts
Kerfið virkar þannig
að almenni lykillinn er
notaður til að
dulkóða og einkalykil-
inn er notaður til að
afkóða.
Þeir sem eru tilbúnir
að leggja þetta á sig
uppskera öruggan og
lokaðan tölvupóst.
lykill (public key). Almenna lyklinum er
dreift til allra þeirra sem þarf að vera í lok-
uðu tölvupóstsambandi við. Hver notandi
eignast þannig marga almenna lykla, þeir
eru geymdir á „lyklakippu". Gæta þarf
einkalykilsins vel, bæði þarf að gæta þess
að enginn komist í hann og einnig að hann
glatist ekki. Kerfið virkar þannig að al-
menni lykillinn er notaður til að dulkóða
og einkalykilinn er notaður til að afkóða.
Þetta þýðir að enginn þarf að láta frá sér
einkalykilinn sinn og treysta öðrum fyrir
honum.
Þar sem lyklarnir eru stærðfræðilega
skyldir verða þeir ekki eins öflugir og
stærð þeirra gefur til kynna. Almennt má
segja að lyklapar með 4096 bita einkalykli
og 1024 bita almennum lykli jafngildi 80
bita læsingu. Það þýðir að prófa þarf 280
möguleika til að brjóta læsinguna, sem er
nálægt 1024. Til samanburðar má geta þess
að GSM kort eru læst með 64 bita lykli til
að tryggja að ekki sé hægt að falsa þau og
hringja á kostnað annara.
PGP notar einmitt þessa aðferð. Not-
endur skiptast á almennum lyklum. Til að
senda einhverjum læstan póst þarf ég al-
menna lykilinn hans, hann notar svo
einkalykilinn sinn til að opna póstinn. Til
að hann geti sent mér læstan póst þarf
hann almenna lykilinn minn og ég nota
svo einkalykilinn minn til að opna póst-
inn.
Lyklaparið er líka hægt að nota á hinn
veginn. Þá er einkalykilinn notaður til að
undirrita skjöl rafrænt og hægt er að sann-
reyna með almenna lyklinum að skeytið
hafi komið frá aðila sem hefur einkalykil-
inn undir höndum. Þessi aðferð er mikið
notuð í rafrænum viðskiptum til að senda
skuldbindingar.
Vinnur með helstu forritum
PGP forritið vinnur með helstu póstforrit-
um. Ef valið er að læsa pósti, þá notar
PGP forritið sjálfkrafa þann almenna lykil
sem er skráður fyrir netfang móttakanda
til að dulkóða skeytið. PGP umskrifar þá
textann í skeytinu og hugsanleg áhengi
áður en skeytið er sent. Athugið að aðrar
upplýsingar, eins og haus skeytisins sem
inniheldur meðal annars netfang sendanda
og móttakanda ásamt efnislínu, er sent
ókóðað og auðlesið.
Önnur aðferð er að dulkóða skrár og
senda þær þannig sem viðhengi í opnu
skeyti. Þá þarf móttakandinn að vista við-
hengið á diskinn hjá sér og afkóða síðan.
Tökum sem dæmi að ég hafi búið til skjal-
ið grein.doc og ætla að senda það til rit-
stjóra SKÝ. Þá dulkóða ég skjalið með
pgp og til verður skjalið grein.doc.pgp.
Sendi dulkóðaða skjalið síðan sem áhengi.
Ritstjóri SKÝ tekur þá skjalið
grein.doc.pgp og afkóðar það til að fá
fram skjalið grein.doc.
Þriðja aðferðin er að dulkóða texta inni
í skjali, til dæmis ritvinnsluskjali. PGP
getur unnið með klippiborði tölvunnar á
þægilegan hátt.
Notendur þurfa að ganga í gegnum
nokkur skref til að innleiða notkun á PGP.
Fyrst þarf að sækja forritið og setja það
upp. PGP er ókeypis fyrir einkaaðila en
fyrirtæki þurfa að greiða smáupphæð fyrir
notendaleyfi. Síðan þarf að búa til lykla-
par og skiptast á almennum lyklum við fé-
lagana. Það er til dæmis hægt að gera með
hjálp sérstakra lyklaþjóna á netinu, með
því að senda almennu lyklana í tölvupósti
eða einfaldlega með því að hittast og
skiptast í disklingum, CD-disk eða USB
minni með almennu lyklunum.
Offlokið
Miðað við kröfur hins almenna notanda
um einfaldleika er þetta allt of flókið ferli.
Til að nota PGP þarf notandinn að vera til-
búinn til að læra nokkur atriði og umgang-
ast kerfið á agaðan hátt. Þeir sem eru til-
búnir að leggja þetta á sig uppskera örugg-
an og lokaðan tölvupóst.
Til eru aðrar leiðir, eins og rafræn skil-
ríki. Auk þess að vera nothæf fyrir dulkóð-
un tölvupósts eru þau einnig skilrfki til
notkunar í rafrænum viðskiptum. Þessi
skilrrki hafa einnig þann galla að vera
heldur flókin fyrir hinn almenna notanda.
Þau hafa því ekki náð þeirri útbreiðslu
sem vonast hefur verið eftir.
Margir spyrja hvort PGP sé í raun ör-
uggt. Svarið er já, ef forritið er rétt upp
sett og réttar aðferðir eru notaðar í dag-
legri notkun.
Mikið hefur verið rætt um það hvort
gerðar hafi verið svokallaðar bakdyr í kerf-
ið, til dæmis til að veita yfirvöldum mögu-
leika á að ritskoða læstan tölvupóst. Til að
Tölvumál
9