Taggat med: gpg

Facebook + PGP = ❤️

Facebook PGP

Facebook stödjer nu att du kan ladda upp din publika nyckel till din Facebook-profil. Då kommer Facebook att använda denna nyckel när de skickar ut meddelanden via E-post.

Och som ovan bild visar så förhindrar detta även om ditt E-postkonto skulle bli kapat (men du använder väl tvåfaktorsautentisering också?).

Behöver ditt företag hjälp med IT-säkerhet eller kryptering? Kontakta Triop AB >

Detta är så klart ett bra uppsving för hela PGP och web of trust och detta märks tydligt då flertalet nyckelservrar såsom pgp.mit.edu svarar långsamt idag eller är helt nere. En tydlig koppling mellan din Facebook-profil och nyckel stärker förtroendet, lite åt det håll som tjänsten Keybase är tänkt.

För att bekräfta att din publika PGP-nyckel så skickar Facebook även ut ett krypterat verifieringsmail med en länk som du måste klicka på för att funktionen ska aktiveras.

Om du vill ladda hem någons publika PGP-nyckel så kan du göra det enligt följande exempel på URL:

https://www.facebook.com/facebookalias/publickey/download

Facebook PGP

Här laddar du upp din publika nyckel:

https://www.facebook.com/me/about?section=contact-info

Facebook själva använder en nyckel med följande fingerprint:

31A7 0953 D8D5 90BA 1FAB 3776 2F38 98CE DEE9 58CF

och denna subkey fingerprint:

D8B1 153C 9BE9 C7FD B62F 7861 DBF4 E8A2 96FD E3D7

Och Facebook kommer att stödja RSA och ElGamal men undersöker huruvida de även kan stödja elliptiska kurvor (ECC). Obligatorisk XKCD:

XKCD PGP

Tips! Gillade du att läsa detta? Kolla även in: Facebook finns nu på Tor

PGP är dött

PGPPGP (och även GPG) är ett av det bästa som hänt modern krypterad kommunikation, men tyvärr är PGP svårt att använda och det är lätt att det blir fel. Det behövs ett omtag när det gäller PGP och vi väntar bara på att bägaren ska rinna över innan det händer.

För sanningen är, att PGP är tillräckligt bra. Visst behövs det göras en hel del när det gäller UX, metadata och forward secrecy men så länge det bara fungerar så behövs det inte åtgärdas.

Men hur kan den stora massan börja att använda krypterad E-post? Även om TLS på E-post (STARTTLS) blir mer utbrett så är detta ej ett komplett skydd.

Är det så att det eventuellt behövs en stor kampanj på Kickstarter för att någon nytt system ska bli det nästa PGP? För fortsättningsvis kommer vi att använda PGP och vi kommer att göra fel och nycklar kommer att bli röjda för vem kommer ihåg när Aftonbladet publicerade sin privata nyckel?

Buggar blir fixade och GnuPG har fått en större budget nuförtiden, så det går sakta men säkert åt rätt håll med intiativ såsom Google End-to-end.

”Key distribution is the hardest problem in end-to-end encryption”

Google

Läs även kloka ord av Moxie samt Whiteout

Så verifierar du din Tor-nedladdning

Tor onionSom Tor-utvecklaren Linus Nordberg påpekar gällande vår artikel om Gratis VPN (med Tor) så bör du alltid verifiera din nedladdning av Tor.

Detta är inte helt tydligt på Tor-hemsidan så därför går vi igenom nedan hur du genomför verifieringen på Windows efter det att du laddat hem Tor. Denna procedur är inte helt trivial för ej vana datoranvändare.

Ladda hem GPG

Innan vi kan göra själva verifieringen så måste verktyget GPG laddas hem och installeras via följande länk:

Ladda hem signaturfil

För varje operativsystem och version så finns det en unik signaturfil som används tillsammans med GPG för att verifiera att din nedladdning är korrekt.

Följande skärmdump visar var du kan hitta länken till signaturfilen för just din nedladdning på Tor-hemsidan:

Tor signatur

Signaturfilen ser ut enligt följande för vår Windows nedladdning av version 2.3.25-12_en-US:

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (Darwin)

iQEcBAABAgAGBQJSCd8wAAoJEEFvBhBj/uZZHQ0IAOkqrN0pHh7J4RAcKJ/541Xv
egmffh1tYkookNhMxyd9jGlJ1K1nnVMt33zFxq1wgOfIQ7qqZtJVzXHH4OpK3FXm
XCG+OvB5IJvxEs+dB901YsEA/eIGoL/SskVWAIF9V9Zj4b+DfP5XHQnbSU20SoTy
Qit4T6KzWYubds1eQspJuTaa5yQjFCe97YH7Ov9gerSYlW/qMM87R+8ubF4Q82YI
mocm88znrScemV+i7SnLh3irhM9kLoaxxtuu8tem5Eg4bKOIS+BEUKQxq4ljgo6y
VUYvbsNdzTwGTBj8CVgUYzAMGLJ65Lx6Fy5zQn0amkM3qv+FFo/SWnu6AXzYHko=
=KA9u
-----END PGP SIGNATURE-----

Verifiera nedladdningen

Nu när vi har laddat hem signaturfilen samt verktyget GPG så är det sista steget kvar att se om vi har laddat hem korrekt version av Tor Browser bundle 2.3.25-12_en-US och det genomförs på följande sätt från kommandoprompten i Windows (kommandoprompten kan startas genom Start-knappen och sedan skriver du cmd.exe i fältet där det står ”Sök bland program och filer”):

gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x416F061063FEE659

Då bör du erhålla följande meddelande tillbaka:

gpg: begõr nyckeln 63FEE659 frÕn hkp-servern pool.sks-keyservers.net
gpg: nyckel 63FEE659: publika nyckeln "Erinn Clark <[email protected]>" impor
terades
gpg: hittade inga nycklar med f÷rbehÕllsl÷st f÷rtroende
gpg: Totalt antal behandlade enheter: 1
gpg: importerade: 1 (RSA: 1)

Nästa steg är verifieringen och här har vi signaturfilen och nedladdningsfilen i samma katalog:

gpg --verify tor-browser-2.3.25-12_en-US.exe.asc tor-browser-2.3.25-12_e
n-US.exe

Och vi får då följande meddelande tillbaka:

gpg: Signatur gjordes 08/13/13 09:24:32 Võsteuropa, sommartid med RSA nyckel-id
63FEE659
gpg: Korrekt signatur frÕn "Erinn Clark <[email protected]>"
gpg: õven kõnd som "Erinn Clark <[email protected]>"
gpg: õven kõnd som "Erinn Clark <[email protected]>"
gpg: VARNING: Denna nyckel õr inte certifierad med en pÕlitlig signatur!
gpg: Det finns inget som indikerar att signaturen tillh÷r õgaren.
Primõra nyckelns fingeravtryck: 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E6
59

Det som är viktigt att notera från ovan är att det står ”Korrekt signatur..”

Läs vidare på Tor-hemsidan här:

Kryptera din E-post (mailkryptering) med PGP

När det gäller kryptering av E-post så finns det en uppsjö med olika verktyg och hjälpmedel för att underlätta detta. Ett av de vanligaste och mest populära krypteringsmetoderna heter PGP och uppfanns av Phil Zimmermann 1991.

PGP är ett såkallad hybridkrypto och använder sig av två olika krypton samt så har PGP även två stycken nycklar varav en är privat och en är publik.

För att komma igång och använda PGP så rekommenderar vi att du använder Mozilla Thunderbird med insticksmodulen Enigmail. Samt så måste du även ladda hem och installera GnuPG: gnupg.org/download

Du behöver även skapa denna publika och privata nyckel och den publika delar du sedan med dig till andra som vill kunna skicka krypterad E-post till dig.

Webbleverantören Loopia har även skrivit om E-postkryptering på sin blogg: blogg.loopia.se/?p=46

Använder du Google GMail och vill kryptera din E-post så installerar du först GnuPG och sedan FireGPG. Se även till att surfa till https:// versionen framför den icke-krypterade versionen http://