Facebook stödjer nu att du kan ladda upp din publika nyckel till din Facebook-profil. Då kommer Facebook att använda denna nyckel när de skickar ut meddelanden via E-post.
Och som ovan bild visar så förhindrar detta även om ditt E-postkonto skulle bli kapat (men du använder väl tvåfaktorsautentisering också?).
Behöver ditt företag hjälp med IT-säkerhet eller kryptering? Kontakta Triop AB >
Detta är så klart ett bra uppsving för hela PGP och web of trust och detta märks tydligt då flertalet nyckelservrar såsom pgp.mit.edu svarar långsamt idag eller är helt nere. En tydlig koppling mellan din Facebook-profil och nyckel stärker förtroendet, lite åt det håll som tjänsten Keybase är tänkt.
För att bekräfta att din publika PGP-nyckel så skickar Facebook även ut ett krypterat verifieringsmail med en länk som du måste klicka på för att funktionen ska aktiveras.
Om du vill ladda hem någons publika PGP-nyckel så kan du göra det enligt följande exempel på URL:
PGP (och även GPG) är ett av det bästa som hänt modern krypterad kommunikation, men tyvärr är PGP svårt att använda och det är lätt att det blir fel. Det behövs ett omtag när det gäller PGP och vi väntar bara på att bägaren ska rinna över innan det händer.
För sanningen är, att PGP är tillräckligt bra. Visst behövs det göras en hel del när det gäller UX, metadata och forward secrecy men så länge det bara fungerar så behövs det inte åtgärdas.
Men hur kan den stora massan börja att använda krypterad E-post? Även om TLS på E-post (STARTTLS) blir mer utbrett så är detta ej ett komplett skydd.
Är det så att det eventuellt behövs en stor kampanj på Kickstarter för att någon nytt system ska bli det nästa PGP? För fortsättningsvis kommer vi att använda PGP och vi kommer att göra fel och nycklar kommer att bli röjda för vem kommer ihåg när Aftonbladet publicerade sin privata nyckel?
Buggar blir fixade och GnuPG har fått en större budget nuförtiden, så det går sakta men säkert åt rätt håll med intiativ såsom Google End-to-end.
”Key distribution is the hardest problem in end-to-end encryption”
Som Tor-utvecklaren Linus Nordberg påpekar gällande vår artikel om Gratis VPN (med Tor) så bör du alltid verifiera din nedladdning av Tor.
Detta är inte helt tydligt på Tor-hemsidan så därför går vi igenom nedan hur du genomför verifieringen på Windows efter det att du laddat hem Tor. Denna procedur är inte helt trivial för ej vana datoranvändare.
Ladda hem GPG
Innan vi kan göra själva verifieringen så måste verktyget GPG laddas hem och installeras via följande länk:
För varje operativsystem och version så finns det en unik signaturfil som används tillsammans med GPG för att verifiera att din nedladdning är korrekt.
Följande skärmdump visar var du kan hitta länken till signaturfilen för just din nedladdning på Tor-hemsidan:
Signaturfilen ser ut enligt följande för vår Windows nedladdning av version 2.3.25-12_en-US:
Nu när vi har laddat hem signaturfilen samt verktyget GPG så är det sista steget kvar att se om vi har laddat hem korrekt version av Tor Browser bundle 2.3.25-12_en-US och det genomförs på följande sätt från kommandoprompten i Windows (kommandoprompten kan startas genom Start-knappen och sedan skriver du cmd.exe i fältet där det står ”Sök bland program och filer”):
gpg: Signatur gjordes 08/13/13 09:24:32 Võsteuropa, sommartid med RSA nyckel-id
63FEE659
gpg: Korrekt signatur frÕn "Erinn Clark <erinn@torproject.org>"
gpg: õven kõnd som "Erinn Clark <erinn@debian.org>"
gpg: õven kõnd som "Erinn Clark <erinn@double-helix.org>"
gpg: VARNING: Denna nyckel õr inte certifierad med en pÕlitlig signatur!
gpg: Det finns inget som indikerar att signaturen tillh÷r õgaren.
Primõra nyckelns fingeravtryck: 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E6
59
Det som är viktigt att notera från ovan är att det står ”Korrekt signatur..”
När det gäller kryptering av E-post så finns det en uppsjö med olika verktyg och hjälpmedel för att underlätta detta. Ett av de vanligaste och mest populära krypteringsmetoderna heter PGP och uppfanns av Phil Zimmermann 1991.
PGP är ett såkallad hybridkrypto och använder sig av två olika krypton samt så har PGP även två stycken nycklar varav en är privat och en är publik.
För att komma igång och använda PGP så rekommenderar vi att du använder Mozilla Thunderbird med insticksmodulen Enigmail. Samt så måste du även ladda hem och installera GnuPG: gnupg.org/download
Du behöver även skapa denna publika och privata nyckel och den publika delar du sedan med dig till andra som vill kunna skicka krypterad E-post till dig.
Webbleverantören Loopia har även skrivit om E-postkryptering på sin blogg: blogg.loopia.se/?p=46
Använder du Google GMail och vill kryptera din E-post så installerar du först GnuPG och sedan FireGPG. Se även till att surfa till https:// versionen framför den icke-krypterade versionen http://