e-brev: Signera, Kryptera - Vilken lösning?

[xyz123]

Den svenska kvällspressen har i plötsligt upptäckt att det kan finnas behov av att sända krypterade e-brev till deras tipsredaktioner. Expressen har valt en S/MIME lösning med gratis certifikat för privatpersoner från www.comodo.com. Aftonbladet har valt en PGP-baserad lösning, www.gpgtools.org resp gpg4win.org.

 

Båda alternativen har såväl fördelar som nackdelar. Om man vill sända brev till en av dessa tidningar så får man välja dess lösning. Om man däremot vill börja använda signering och kryptering i andra sammanhang så står man inför ett val. Vilka fördelar vill jag ha? Vilka nackdelar kan jag stå ut med?

 

S/MIME med certifikat från en betrodd Certifikatutfärdare är en för slutanvändaren enkel och lättanvänd lösning. Dessutom torde många, i synnerhet i den kommersiella världen, känna till denna lösning. Problemet är att finna en betrodd certifikatutfärdare som dessutom har ett för en privatperson acceptabelt pris. Även certifikatutfärdare hackas ibland och får problem. De senaste som jag känner till är Diginotar, som gick i konkurs, och Comodo. De som aktivt ägnar sig åt säkerhet kan kanske komma med fler exempel. (Jag är numera pensionär och alltså inaktiv.)

 

Att luta sig mot mer eller mindre kommersiella företag för att få ett certifikat är lite tvivelaktigt rent principiellt. Vem övervakar dessa? Hur vet dom vem som är vem? Ur somliga synpunkter borde certifikat delas ut av offentligträttsliga organisationer. En uppgift för polisen, som ger ut pass och id-kort, kanske. Eller för skatteverket som också ger ut id-kort. I demokratier borde polis och skatteverk kunna sköta detta. Dessvärre har FRA-lagstiftning och andra incidenter lett till minskat förtroende. Finns det överhuvudtaget någon som man kan lita på som certifikatutfärdare?

 

Ett certifikat kostar givetvis, på ett eller annat sätt. Förr om åren har priset varit för högt för mig som privatperson. De flesta certifikatutfärdare vänder sig bara till företag. Verisign, t.ex., kostar idag $19.95. Comodos certifikat är som sagt var gratis. Men observera att gratis inte enbart är en fördel!

 

PGP alternativet innebär att du laddar ner program till din dator och installerar det. Du blir inte beroende av någon annan central organisation, t.ex. en certifikatutfärdare. Men du kan få problem när ditt OS uppgraderas / uppdateras. Kommer de frivilliga krafterna bakom gpgtools.org resp. gpg4win.org att tillräckligt snabbt anpassa sitt program? Du måste också själv i större utsträckning hantera såväl din publika som din privata nyckel.

 

Att inte vara beroende av någon central organisation kan för en del vara en avgörande fördel. T.ex. om du lever i en diktatur eller i en stat med sådan avlyssning som FRA ägnar sig åt. För andra kan det vara en klar nackdel.

 

För egen del har jag för tillfället infört S/MIME med ett gratis certifikat. Vad jag väljer "i morgon" vet jag inte!

[xyz123]

Valet av S/MIME har den fördelen att det kan installeras även på en iPhone. Det kräver lite letande på Apples amerikanska websidor, lite läsande (som vanligt bör man läsa till punkt innan man provar) och lite pysslande. Men inte värre än vad man kan råka ut för i många andra sammanhang.