Datasäkerhet för journalister och andra

KryptosBlur
“Kryptos” Foto: Jim Sanborn, edit Minh Nguyen, Wikimedia Commons

Intresset för kryptering och säker kommunikation är stort i kölvattnet på massövervakningsaffärerna. Julian Assange skrev igår en artikel i The Guardian om kryptografin som verktyg för såväl enskilda frihetskämpar som nationer som vill frigöra sig från den globala massövervakningen. Peter Sunde med vänner passade samtidigt på att lansera projektet Heml.is som syftar till att bygga en säker meddelandetjänst. Än så länge är det dock inte mer än en idé om att den ska bli väldigt snygg och användarvänlig samt väldigt säker, byggd på end-to-end-kryptering.

Den senaste tidens viktigaste läsning i ämnet är emellertid den utmärkta guiden till säker kommunikation som Freedom of the Press Foundation publicerade i förra veckan. Det är en handfast vägledning med rekommendationer som dessa:

  • Spola Windows och OSX. Kör Linux.
  • Använd en mejlklient med kryptostöd, som Mozilla Thunderbird + Enigmail.
  • Använd “Off the record”-programvara som krypterar dina chattmeddelanden.
  • Använd kryptosignaturer i både mejl och meddelanden för att säkerställa identiteten på sändare och mottagare.
  • Använd tjänster från företag som åtminstone inte är kända för att samarbeta med NSA. (Med andra ord, skippa Google, Apple, Microsoft, Facebook mfl.)
  • Använd en proxytjänst som Tor för att maskera din ip-adress på webben.

Artikeln är viktig läsning i sin helhet för den som vill stärka säkerheten i sin kommunikation. Men något som är särskilt viktigt att bära i minnet är att Microsoft (möjligen även Apple) delar med sig av information om operativsystemens sårbarheter till NSA. Det innebär att även om du krypterar känslig information med PGP-teknik så kan de sannolikt komma åt informationen efter att du krypterat upp den på de plattformarna.

En annan viktig sak rör identiteter och metadata. Om du kommunicerar med en källa över krypterade kanaler är det viktigt att du kan verifiera hens identitet. Men lika viktigt kan det vara att hålla korrespondensens deltagare hemliga för utomstående betraktare. Bara vetskapen om att en undersökande journalist kommunicerar med en anställd på utrikesdepartementet – utan att kunna dekryptera innehållet i kommunikationen – kan vara fullt tillräckligt för att avslöja läckan när ett stort avslöjande briserar. Därför måste man se till att deltagarna inte heller röjs av metadata.

Mitt eget arbete med att kryptera mera fortgår. Jag började för ett tag sedan använda lagringstjänsten Wuala, baserad på klientkryptering som inte ens tjänsten själv har någon nyckel till, istället för Google Drive och Dropbox. Wuala är användarvänlig och praktisk, jag hade i och för sig önskat mig fler funktioner för automatisk synkning av dokument och bilder (som autouppladdning av bilder från mobilen), men det är en fullt duglig lagringstjänst.

Nästa steg var att installera anonymiseringsprogramvaran Tor. Vad det handlar om är en metod för att med hjälp av kryptering och ett nätverk av tusentals datorer världen över vidarebefordra min internetuppkoppling flera gånger så att det i slutändan ser ut som att mitt besök kommer någon annanstans ifrån än från min egen IP-adress, som blir mycket svår att spåra. Det segar ner surfandet något så jag använder det inte för jämnan utan då och då. Inte för något särskilt känsligt ändamål utan “bara för att”.

Idag har jag även bytt mejlklient till Thunderbird, med tillägget Enigmail, för kryptering med 4096 bitars nyckel. Metoden innebär att jag har en publik nyckel och en hemlig. Vill du skicka ett mejl till mig kan du kryptera det med hjälp av min publika nyckel (GPG-klienter hittar den automatiskt, och säkrare, på en nyckelserver då den är associerad med min mejladress). Sedan är det bara jag som kan dekryptera mejlet, med hjälp av min hemliga nyckel.

Kryptera och signera gärna mejl till mig, även om de inte innehåller känsliga uppgifter. Genom att använda kryptering och Tor även för vardaglig kommunikation säkerställer vi att de som verkligen behöver tjänsterna inte blir måltavlor bara för att de använder dem.

5 thoughts on “Datasäkerhet för journalister och andra

  1. Intressant läsning som alltid! Har själv provat Mega.co.nz senaste veckan, där sker ju också enkryptionen på datorn. Väldigt barebones än så länge, men utrymmet och hastigheten är väldigt imponerande. Det verkar också som att de tänker utveckla fler anonyma tjänster. Sen får man väl tycka vad man vill om Kim dotcom..

    Har dock väldigt svårt för att vänja mig vid duckduckgo. Det tar mycket längre tid att hitta det jag letar efter bland resultaten. Har dock valt att blockera alla anslutningar från google med ett nätfilter nu. Så nu kan jag inte googla var sig jag eller inte. Men visst önskar jag att Tor och de alternative söktjänsterna var lite “mer” ibland. Har blivit lite bortskämd av google och company.

    1. Jag tycker att DuckDuckGo fungerar bra för de flesta sökningar. Vad jag saknar rejält är Googles effektiva bildsök. Därför använder jag ibland Startpage.com för att söka efter bilder. Det är en söktjänst som helt enkelt söker på Google åt mig så att jag inte delar någon information med dem. Och Startpage sparar heller ingen information om sökningarna.

  2. Tack för tipsen! Notera att Wuala inte är fri programvara, dvs. det skulle vara möjligt för företaget att lägga in en bakdörr, på eget initiativ eller på NSA:s. Långsökt så länge det är en liten tjänst – men de lösningar vi väljer kommer förr eller senare utsättas för tryck.

    1. Det är riktigt, Micke. En fördel är i alla fall att Lacie är schweiziskt, även om det förstås inte garanterar något. Om någon har tips på ett bra, användarvänligt open source-alternativ är jag mycket intresserad!

Leave a Reply

Your email address will not be published. Required fields are marked *