Kryptering: Tar du det röda eller det blå pillret?


Kryptering: Tar du det röda eller det blå pillret?

När ni tänker på kryptering, föreställer ni er den klassiska scenen från The Matrix där världen är bygd av gröna, regnande symboler? Egentligen är verkligheten inte så långt bort från detta.

Konceptet ”kryptering” är att göra information svårläslig för alla som inte ska kunna läsa den. Rätt enkelt att greppa, eller hur? Kryptering har förmodligen existerat så länge som skriftspråket har funnits, men den moderna varianten av kryptering handlar oftast om digital kommunikation. Vilket osökt leder oss till nästa fråga:

 

Vad är e-postkryptering?

Det förvånar dig säkert inte att höra att e-postkryptering helt enkelt innebär att göra ett e-postmeddelande och dess innehåll svårläsligt. Syftet är helt enkelt att ingen obehörig ska kunna få tillgång till den data som mejlet innehåller.

Hur läser du då ett krypterat e-postmeddelande? Låt oss hoppa tillbaka till The Matrix.

Du är Neo, du har precis träffat Morpheus och han ger dig valet mellan ett blått och ett rött piller. Det röda låter dig se världen som den verkligen är, medan det blå låter dig fortsätta leva i The Matrix.

Som mottagare måste du, precis som i The Matrix, ha ett rött piller för att kunna se informationen bakom ett krypterat meddelande. Nåja, bildligt talat i alla fall. Vad du behöver i verkligenheten är en dekrypteringsnyckel. Dessa kan komma i olika former, beroende på vilken typ av kryptering du använder.

Blog-Post-SmartLockr (17) (1)
För att kunna se informationen bakom ett krypterat meddelande behöver du en dekrypteringsnyckel.

Varför behöver du krypterad e-post?

För att skydda din information från agenter, det vill säga tredje parter, såklart! Att använda e-postkryptering betyder inte att ingen annan kan komma åt dina meddelanden. Vad det däremot betyder är att ingen kan komma åt innehållet i din e-post på ett meningsfullt sätt – om du hanterar dina kryptonycklar rätt, det vill säga.

Dessa måste hållas separata från din dataskydds- eller molnleverantör. Amerikanska myndigheter har nämligen rätt att begära ut data som lagras i USA-ägda moln, enligt lagen CLOUD Act. Om nycklarna därför lagras hos leverantören kan de även få tillgång till den dekrypterade versionen av dina e-postmeddelanden.

Men om nycklarna förvaras separat kan de bara se den krypterade varianten av ditt e-postmeddelande. Se vårt webinar med GDPR- och dataskyddsexperten Alexander Hanff här och lär dig mer om hur du kan vara GDPR-följsam i molnet.

Arbetar ditt företag eller organisation dessutom med utbyte av integritetskänslig information via e-post? Då behöver ni krypterad e-post för att kunna förhålla er till GDPR. Ett e-postmeddelande är lite som ett vykort, andra människor kan se meddelandet om de vill. Detta kan röra sig om era egna dataadministratörer eller internetleverantörer. Därför anses det olagligt skicka information, som personuppgifter, okrypterat via e-post.

Vill du läsa mer om kryptering? Du hittar allt du behöver veta, inklusive webinarer och dokument här.

En saga om molnet


Den ena krypteringen är inte den andra lik

Så om kryptering är som The Matrix, där du behöver ett piller (eller en dekrypteringsnyckel) för att kunna läsa den sanna informationen, finns det då bara ett sätt att kryptera på?

Svaret är nej, det finns en rad olika krypteringstekniker, det vanligaste när det kommer till e-postkryptering är:

  • TLS-kryptering
  • End-to-end-kryptering

TLS-kryptering

Detta är standardkrypteringen som används av, till exempel, Outlook och Gmail. Den kallas också för encryption in transit och betyder, som namnet antyder, att krypteringen sker medan e-postmeddelandet skickas mellan internetanslutningar.

Det finns ett antal problem som gör att enbart TLS-kryptering inte är ett säkert alternativ när du utbyter känsliga uppgifter. Det första är att det inte är garanterat att ditt e-postmeddelande är skyddat hela vägen. Både avsändaren och mottagaren måste använda sig av TLS-kryptering. Annars kommer meddelandet bara vara krypterat från avsändaren till servern, men inte från servern till mottagaren.

En annan faktor är att TLS-kryptering bara krypterar själva kanalen, och inte meddelandet i sig. Detta betyder att om någon skulle bryta sig in kanalen kommer meddelandet att visas okrypterat.

Med andra ord är enbart TLS-kryptering inte ett bra val för säker e-post.

End-to-end-kryptering

Denna metod är däremot mycket säkrare. End-to-end-kryptering är den variant som Smartlockr använder sig av. Varför? För att det skyddar ditt e-postmeddelande från början till slut. Med end-to-end-kryptering, krypteras själva e-postmeddelandet och dess innehåll. Detta gör det oläsligt för alla utom mottagaren, som har dekrypteringsnyckeln.

Det är dock viktigt att nycklarna förvaras separat från era leverantörer. Detta kallas för zero knowledge och betyder att ingen förutom mottagaren och avsändaren har tillgång till krypteringsnycklarna.

End-to-end-kryptering utan zero knowledge innebär nämligen att eventuella leverantörer har tillgång till era kryptonycklar. Även om leverantörerna själva inte skulle använda eller titta på era data, kan de tvingas att lämna ut informationen till amerikanska myndigheter, på grund av lagen CLOUD Act. Datan blir dock helt värdelös för myndigheter, eller andra potenitella tredje parter, om du använder dig av end-to-end-kryptering med zero knowledge. Detta eftersom alla meddelanden lagras krypterat och ingen annan än mottagaren och avsändaren har tillgång till kryptonycklarna. Därför använder vi på Smartlockr oss av End-to-end-kryptering med zero knowledge!

 

För att summera: Säker, digital kommunikation kan inte existera utan kryptering, men all kryptering är inte lika säker. För skydda dina data och följa GDPR behöver du: ett krypterat dataskydd som använder sig av end-to-end-kryptering med zero knowledge.

Nu när du har läst vår blogg, kommer du att fortsätta med en icke-krypterad e-postlösning, eller är du redo att ta det röda pillret och en tripp till The Matrix med oss?

Vill du läsa mer om kryptering och molnet? Ladda ner ”En saga om molnet: CLOUD Act, Privacy Shield & Schrems II här nedan.

En saga om molnet

Similar posts