5.2.3 Kryptering viktigt i webbsammanhang

Integritetsskydd på webben

Då du besöker en webbsida kan den som ansvarar för sidan lagra olika data om ditt besök (t.ex. datorns IP-adress, samt vilken version av operativsystemet du använder, upplösningen hos din skärm o.s.v.). Du lämnar alltså spår efter dig då du rör dig på Internet.

Informationen från ”surfandet” är oftast oskadlig i praktiken, men ibland kan det vara ödesdigert att lämna spår efter sig. För t.ex. politiska dissidenter kan följderna vara ödesdigra i vissa länder. Vid behov är det fullt möjligt att röra sig helt anonymt på webben med hjälp av en särskild tjänst som finns till för det (läs mera om ämnet).

Kryptering av datakommunikation

När man använder t.ex. en webbläsare, FTP-överföring eller e-post över Internet, överförs data vanligen i okrypterad form. Data sänds också okrypterat i öppna, trådlösa nätverk. I princip kan alla som känner till tekniken uppfånga och läsa sådan trafik i klar och tydlig form. Den krypterade trafiken är – i praktiken – omöjlig att tolka av en obehörig person.

Man behöver inte kryptera all data som överförs över webben, med om du överför känslig data (t.ex. då du skriver in dig till någon nätbanks tjänster) är det absolut nödvändigt att kryptera informationen. Webbläsarena skapar vanligen automatiskt en krypterad förbindelse då du använder en webbtjänst som använder kryptering. Alla webbtjänster erbjuder dock inte den här möjligheten, så du måste vara på alerten. Ge inte ditt lösenord till sådana webbtjänster som inte använder krypterade förbindelser för att överföra lösenord och annan data!

Hur ser jag skillnaden mellan krypterade och okrypterade förbindelser?

Då du använder t.ex. en nätbank, webmail-e-post eller motsvarande ska du se till att känsliga data överförs i krypterat format. Därför måste du kunna se skillnad på krypterade och okrypterade förbindelser. Data kan krypteras på olika sätt. De vanligaste är:

  • med Webbläsaren: SSL och HTTPS.
  • I textbaserade terminalförbindelser: SSH och SSH2.
  • Filöverföring: SCP och SFTP.

Webbanker använder ofta krypterade HTTPS-förbindelser. Det kräver vanligen inga specialåtgärder av dig att övergå till den krypterade förbindelsen: när du går till den krypterade förbindelsen med webbläsaren får du ett meddelande om att du går in på ett skyddat område, och oftast frågar webbläsaren om du vill fortsätta. Om du svarar jakande har du strax bildat en krypterad förbindelse. Kontrollera dock alltid att det framför adressen i webbläsaren står HTTPS istället för HTTP, eller att det på statusraden (vanligen i nedre kanten av programfönstret) finns en låst låssymbol. Med de flesta programmen ser du också att förbindelsen är krypterad genom att adressfältet är gult. Nedan ser du en bild av låset och adressfältet.

Då du går ut ur en krypterad förbindelse meddelar webbläsaren att du har återgått till normaltillstånd, d.v.s. okrypterad förbindelse. Du känner igen den okrypterade förbindelsen på den vanliga adressen med http i början.

För krypterade förbindelser med e-post, terminal- och t.ex. FTP-filöverföring gäller lite avvikande krypteringsmetoder. Om du vill använda en krypterad förbindelse med ditt e-postprogram i din hemdator måste du ställa in det via programmets inställningar. För terminalförbindelser måste du använda en SSH- eller SSH2-förbindelse. Med FTP-program ska man skapa en SCP- eller Secure-FTP-förbindelse (läs mera om ämnet).

Går det att ”tjuvlyssna” på en krypterad förbindelse?

Data som sänds och mottages över en krypterad förbindelse är krypterad, men syns ändå på nätet som datakommunikation. Därför är det i princip möjligt att någon ”kapar” den krypterade datakommunikationen och dekrypterar den genom att bryta krypteringsnyckeln som använts vid krypteringen. Det är alltså i princip möjligt att dekryptera data som krypterats, men det är mycket svårt.

Om du vill kan du kryptera dina e-postmeddelanden så att mottagaren får meddelandet i krypterat format. Då måste mottagaren dekryptera meddelandet med en krypteringsnyckel som du ger. Man kan kryptera meddelanden med t.ex. PGP (Pretty Good Privacy)-metoden. Med samma metod kan man försäkra sig om att avsändaren är den rätte.

Datorsäkerhet i trådlösa nätverk

Många offentliga och nästan alla trådlösa hemnätverk använder något slags skydd mot nätfiske. Det mest rekommenderade av dessa är den lösenordsskyddade anslutningen med WPA2-teknologi – att knäcka den är extremt svårt.

På många allmänna ställen (skolor, kollektivtrafik och caféer) erbjuds ett offentligt trådlöst nätverk (WLAN). Även HOPEnet på Hanken är ett nätverk av detta slag. Det är viktigt att känna till att i sådana nätverk överförs data i en helt okrypterad form, och känner man till metoden är det enkelt att bugga trafiken.

Det är ganska enkelt att förhindra buggning. Om du har ett trådlöst nätverk i bostaden, kontrollera att du har skyddat det i enlighet med tjänsteleverantörens instruktioner.

När du använder öppna, trådlösa nätverk erbjuder https-webbläsarens anslutningar ett relativt bra skydd men störst säkerhet uppnår du genom att använda en säker VPN-anslutning när du använder ett offentligt nätverk. För detta ändamål är en VPN -service från Hanken lämpligt.

I mobila nätverk används redan säkrade dataanslutningar, så detta är inte tillämpligt för dem.

Certifikat – garantier för krypterade förbindelser

I säkra anslutningar verifierar alla servrar sin autenticitet med hjälp av ett certifikat. Certifikat Auktoritet (CA) garanterar med sin digitala signatur att certifikatets data är korrekt och att certifikatet är autentiskt. Detta betyder att certifikatet verifierar att tjänsten du loggar in på verkligen är den som den utger sig för att vara.

När besökerl en webbplats vars administratör kräver att en säker anslutning ska användas mellan din webbläsare och webbplatsen, kommer din webbläsare att verifiera autenticiteten hos tjänsteleverantörens certifikat. Om CA är allmänt känd skapas den säkra anslutningen automatiskt.

Certifikaten för Hanken har undertecknats av den europeiska forsknings- och nätverksorganisationen TERENA och Sonera (se en bild av signaturen). De vanligaste webbläsarprogrammen känner igen dessa certifikat automatiskt så du behöver inte installera dem på din dator. Med vissa bärbara apparater och smarttelefoner kan det dock krävas att certifikatet installeras.

Om du kommer till en webbsida som inte har fått certifikat från en känd CA kommer webbläsaren att fråga dig om du godkänner certifikatet. Följande bild visar ett certifikat från en okänd CA.

Då du får en varning om ett okänt certifikat ska du inte genast klicka på OK, utan kontrollera alltid den som beviljat certifikatet, d.v.s. CA:n! Med Firefox-läsaren kan man kontrollera CA:n genom att klicka på knappen Examine Certificate som syns på bilden ovan. Då får du fram information om den som beviljat certifikatet (se på en bild av informationen). Kontrollera följande saker i informationen:

  • Issued to (Beviljat till): stämmer den här informationen med den tjänst du vill använda?
  • Issued by (Beviljad av): fundera på om du tror att beviljaren av certifikatet som anges här är pålitlig.
  • Expires On (Förfallodag): kontrollera att certifikatet inte är föråldrat.

Giltigheten hos serienumret och certifikatets fingeravtryck (fingeravtryck och serienummer på bilden ovan) bör verifieras från något annat ställe, ex.vis kan HU’s IT Center’s certifikatsdata återfinnas på certifikatleverantörens webbplats

Om du bestämmer dig för att lita på certifieraren, kan du installera certifikatet på din dator. Efter att du installerat det kommer certifikatet att kontrolleras automatiskt, oberoende av vilken tjänst du använder med din webbläsare. För webbläsarspecifika instruktioner om hur man installerar ett certifikat, se It Centralens hjälpinstruktioner (wiki).

Om du av någon anledning inte kan installera ett certifikat på din dator, kan du godkänna ett certifikat genom att välja Accept this certificate (Godkänn certifikatet) i menyfönstret ovan (permanently = permanent, temporarily = temporärt, denna gång) och acceptera genom att klicka på OK.

Om webbläsaren varnar dig för att certifikatet tillhör någon annan tjänst än den du ska använda (se exemplet nedan) ska du GENAST sluta att använda tjänsten. Ta gärna kontakt med den som erbjuder tjänsten också.