| PGP KRYPTERING |

Tack till: www.antifa.se

Introduktion till PGP och kryptering
Kom igång med PGP
Maximal säkerhet med PGP
Ladda ner PGP/GnuPG

Introduktion till PGP och kryptering:

Kryptering är en metod för att omvandla en läsbar text på ett sånt sätt att man döljer dess innehåll. När man krypterar en läsbar text får man en oläsbar "gibberish" som kallas för chiffertext. Du använder kryptering för att försäkra dig om att informationen döljs för dem den inte är avsedd för. Processen för att återställa en chiffertext till läsbar text, kallas för dekryptering.
Kryptografi är en vetenskaplig metod, där man använder matematik för att kryptera och dekryptera information. Medan kryptografi är vetenskapen om att säkra information, så är kryptoanalys vetenskapen om hur man analyserar och knäcker säker kommunikation. Klassisk kryptoanalys innefattar en kombination av analytiska resonemang, användandet av matematiska verktyg, mönster sökning, tålamod, envishet och tur. Kryptologi innefattar både kryptografi och kryptoanalys.
Kryptografin kan vara både svag och stark. Den svaga hindrar din syster/bror från att läsa dina brev och den starka hindrar myndigheter från att läsa dina brev. Kryptografins styrka mäts i hur lång tid och hur stora resurser det skulle krävas för att återställa en chiffertext till läsbar text. En kryptografisk algoritm, eller chiffer, är en matematisk funktion som används i krypterings och dekrypterings processen. En kryptografisk algoritm fungerar i kombination med en nyckel - ett ord, nummer, eller fras - för att kryptera en läsbar text. Samma läsbara text krypteras till olika chiffertexter med olika nycklar. Säkerheten är beroende av två saker: styrkan i den kryptografiska algoritmen och hur säkert nyckeln förvaras. I konvetionell kryptografi, kallad symmetrisk kryptering, så används en och samma nyckel till både kryptering och dekryptering.
För att en sändare och mottagare ska kunna kommunicera säkert med konventionell kryptering, så måste de enas om en gemensam nyckel och hemlighålla den. Om de bor på olika orter så måste de skicka nyckeln med en kurir de litar på. Deras problem kallas för nyckelhantering, dvs hur man distribuerar och förvarar den hemliga nyckeln. Problemet med nyckel-hanteringen löstes 1975 när Whitfield Diffie och Martin Hellman, offentliggjorde ett koncept som de kallade för public key kryptografi. Idag vet man att den brittiska underrättelsetjänsten upptäckte systemet några år tidigare. Public key kryptografi är ett asymmetriskt system som använder sig av nyckel-par: en public key (publik eller offentlig nyckel), som används till att kryptera och en motsvarande secret key (den hemliga nyckeln) som används för dekryptering. Det fina med asymmetrisk kryptering är att vem som helst, som har en kopia av din public key, kan kryptera information till dig - som bara du kan läsa. Även folk du aldrig träffat. Det är praktiskt omöjligt att få fram den hemliga nyckeln (secret key), utifrån att man har den publika (public key). Med praktiskt omöjligt, menas att det tar för lång tid och kräver för stora resurser för att vara praktiskt genomförbart. Men hur lång tid det tar, dvs om det verkligen är praktiskt omöjligt, hänger ihop med nyckellängden och den tekniska utvecklingen, dvs hur snabba datorerna är om t.ex. 10 år. Den huvudsakliga förtjänsten av public key kryptografi, är att det tillåter folk som inte har några tidigare säkerhetsarrangemang, att utbyta information säkert. Behovet av att ha säkra kanaler, eller kurirer, för att utbyta hemliga nycklar är eliminerat. All kommunikation sker med publika nycklar, och inga hemliga nycklar utbyts någonsin. Exempel på idag existerande public-key kryptosystem, eller asymmetriska system, är Diffie-Hellman, RSA och DSA. Diffie-Hellman är det system som PGP använder sedan version 5.0 och RSA var det system som användes tidigare i PGP. Bytet skedde av upphovsrättsliga skäl, systemen är likvärdiga. DSA (Digital Signature Algoritm) är som du kanske hör på namnet, ett system för digitala signaturer. PGP kombinerar både konventionell (symmetrisk) kryptering med public key (asymmetrisk) kryptering. PGP är ett hybrid kryptosystem.
De konventionella (symmetriska) kryptosystem som PGP använder är IDEA, CAST och Trippel-DES. Före version 5.0 användes enbart IDEA. Den internationella PGP-versionen består av två system, dels det "gamla" som kombinerar RSA och IDEA, dels det "nya" som kombinerar DSS med CAST (eller IDEA/3DES). De "nya" nycklarna använder alltså DSS i den asymmetriska krypteringen), men har tre olika system CAST/IDEA/3DES för den symmetriska krypteringen. CAST är alltid förvalt efter en installation, men du kan ändra detta, samt blockera ett eller två av systemen. Om det t.ex. skulle offentliggöras att CAST har "knäckts" av något matte-geni, så kan du blockera CAST i dina PGP-inställningar, men ändå fortsätta använda PGP. De flesta krypterings-program har inte denna möjlighet, utan hela systemet står och faller med den enda möjliga krypterings-algoritmen. I framtiden så kommer antagligen denna möjlighet i PGP att utökas med nya och starkare algoritmer. Om du vill veta mer om hur PGP fungerar "under huven", så läs dokumentationen som medföljer programmet. Denna text tar endast upp de viktigaste bitarna eftersom det visat sig att de flesta inte läser PGPs extremt bra dokumentation. IDEA och CAST-nycklarna är på 128-bitar och du kan inte ändra på det. När du skapar en ny PGP-nyckel, så kan du välja nyckellängd. Det du väljer är hur stor public key kryptografi nyckeln ska vara, dvs DSS (Diffie) eller RSA. För att komma upp i ungefär samma styrka som IDEA/CAST, så ska du välja 3000-bitar. RSA-nycklar kan inte vara större än 2048-bitar för att vara bakåtkompatibla med tidigare PGP-versioner. Och en kedja är inte starkare än sin svagaste länk. När du krypterar en text med PGP, så går det till så här: PGP skapar en ny tillfällig CAST-nyckel, s.k. "session-key", med denna krypteras texten, därefter krypteras CAST-nyckeln med mottagarens publika DSS-nyckel. När mottagaren dekrypterar går det så här: mottagaren skriver in sitt lösenord som låser upp den hemliga delen av DSS-nyckeln, denna dekrypterar CAST-nyckeln och CAST-nyckeln dekrypterar själva texten. Enda anledningen till att PGP använder båda systemen är att IDEA/CAST är snabba system, som på milli-sekunder krypterar stora dokument, samtidigt som RSA/DSS är extremt långsamma och kräver hur mycket processor kraft som helst.

Kom igång med PGP:

Steg för steg hur du kommer igång och använder PGP.
1. Ladda hem och installera PGP på din hårddisk.
Här laddar du hem PGP Läs gärna den medföljande dokumentationen, den är bra! Om du använder ett mail-program, så finns det PGP-pluginer för dessa, som installeras automatiskt när du installerar PGP. Idag finns det pluginer till Claris Emailer, Eudora, Lotus Notes, MS Outlook Express, MS Outlook and Exchange, Mailcrypt, Pegasus Mail (QDPGP) och några unix-varianter. Om du inte redan använder ett mailprogram och ska välja ett, undvik Outlook för det verkar vara permanenta problem med pluginerna. Vi rekommenderar Eudora, som fungerar bra. Pegasus Mail uppskattas bland PGP-fantaster, men vi har inte testat det själva.
2. Skapa en egen PGP-nyckel.
Alla som använder PGP, måste ha en egen nyckel. I programet PGPKeys, administrerar du andras nycklar och skapar egna. Innan du skapar en egen nyckel, så går du in i "preferences" i PGPKeys och klickar av "Faster Key Generation". I PGPKeys väljer du "New" under "Keys". Det första du ska göra är att namnge nyckeln, med t.ex. din e-mail adress. Det namn du skriver kommer alla som du skickar nyckeln till att se, för att de ska veta vems nyckeln är. Om du skapar en nyckel för en AFA-grupp, så namnger du den som AFA . Därefter ska du välja Diffie eller RSA-nyckel, de allra flesta idag använder Diffie, det är enbart om du ska kommunicera med någon som kör en gammal PGP-version, som du väljer RSA. Därefter ska du välja storlek på nyckeln, du väljer då 3072-bitar. Därefter följer val om "key-expiration", du väljer "never". Efter detta ska du ge nyckeln ett lösenord eller "lösenfras". Försök att åtminstonde fylla halva säkerhetsstapeln, men det viktigaste just nu är att du väljer ett lösenord som du kommer ihåg. Du kan byta lösenord senare om du vill. Om man glömmer bort sitt PGP-lösen, så är man "stekt". Beroende på hur snabb dator du har så kommer den att tugga x antal minuter, medans den genererar din nya PGP-nyckel. När nyckeln är klar, så ser du den i PGPKeys-fönstret. Dubbelklicka på den eller välj "properties" (info), så får du upp ett litet fönster där du ser en massa info om din nyckel. Du ser bl.a. att den är av typen DH/DSS (Diffie), att den består av 3072-bitar och att den har CAST som förvald metod. Dessutom ser du din nyckels "fingerprint" och har en knapp där du kan välja att byta lösenord. Kom ihåg att PGP-nycklar inte är något man byter som man byter strumpor. Det tar tid att etablera en nyckel. Så vad du än gör - glöm inte bort lösenordet.
3. Be någon att skicka sin nyckel till dig.
Du får då en textmassa i ett mail som är helt oläsligt förutom att det inleds med "---BEGIN PGP KEY" och avslutas med ett "---END PGP". Detta är en publik nyckel (Public Key) eller den offentliga delen av en PGP-nyckel. Nu ska du få in nyckeln i din nyckelring som sköts av PGPKeys, detta kan göras på flera sätt. Om du har ett mailprogram med PGP-pluginer, så finns där ett val "Add PGP-key", du kan kopiera det via klippbordet, eller köra Drag-and-Drop från mailet in i PGPKeys fönster. När du lyckas, så kommer det upp ett fönster där PGP listar en eller flera nycklar och frågar vilka av dessa du vill importera. Markera nyckeln och välj "import". Om du nu tittar i PGPKeys fönster, så ligger nyckeln där, detta innebär att du kan skicka PGP-krypterade mail till ägaren av den nyckeln. Dubbelklicka på nyckeln och kolla properties (info), notera att det är i detta fönster som du ser nyckelns "fingerprint". I PGPKeys fönstret finns det en liten pil framför nyckeln. Klicka på pilen. Denna pil tar fram nyckelns signeringar och om den har flera namn. Alla nycklar är signerade av sig själva. Fortsätt klicka tills det inte kommer fler pilar. Nu kommer det antingen att vara tomt eller så listas en "Unknown Signer". Om det är tomt, så innebär det att nyckeln saknar signaturer. Om du ser en eller flera "unknown Signer", så innebär det att nyckeln är signerad med alla dessa, men eftersom du inte har dessa nycklar, så kan du inte heller se vilka det är som signerat.
4. Kontrollera en ny PGP-nyckels äkthet.
Du har fått en nyckel i ett mail, men innan du börjar använda den ska du kontrollera äktheten. Du kan kontrollera äktheten på två sätt. Det enklaste är att titta på nyckelns signaturer, har den signerats med nycklar som du har och vars äkthet du redan kontrollerat. Känner och litar du dessutom på dessa personer? Eftersom det här antagligen är den första nyckeln du får, så kan du inte kontrollera några signaturer, eftersom du garanterat saknar dessa nycklar. Istället tar du "info" (properties) på nyckeln så att du ser nyckelns "fingerprint", sedan ringer du upp din vän och ber henne/honom läsa upp sin nyckels fingerprint för dig. Om fingerprint stämmer, så markerar du nyckeln och väljer "Sign" under menyn "Keys". Du får då upp en ruta där det finns ett val "Allow signature to be exported", denna markerar du och klickar på "Sign". Det är viktigt att du klickar i allow signature to be exported. Därefter ska du ange det lösenord, som låser upp din nyckel. När signeringen är klar, kan du själv titta på den genom att klicka fram pilarna framför den nyckel som du just signerade. Markera den signerade nyckeln och välj "export" under menyn "keys", ange filnamn och lägg sedan in nyckeln i ett mail och skicka till nyckelns ägare. Nyckelns ägare väljer import och får då in din digitala-signatur på att nyckeln är äkta i sin nyckelring. En digital-sigatur är mycket svår att förfalska, eftersom den kräver att man har tillgång till din nyckel och kan lösenordet.
5. Skicka ut den offentliga (publika) delen av din nyckel till de som du vill kommunicera med. För att dina vänner ska kunna skicka PGP-krypterade mail till dig, så måste de få din PGP-nyckel. Gå in i PGPKeys och markera din nyckel, välj "Export" under "Keys". I export rutan finns två val "Include Private Keys" och "Include 6.0 Extensions". Den privata delen av din nyckel (Private Key) får du naturligtsvis ALDRIG skicka till någon annan, du ska inte heller välja "Include 6.0 Extensions", eftersom detta format är inkompatibelt med versioner äldre än 6.0 som väldigt många använder. Valet "Include Private Key" finns bara för att du själv ska kunna göra en backup på hela din nyckel. Innan du börjar skicka ut din nyckel i stor skala, är det en bra idé att skaffa några digitala signaturer till nyckeln. Be två-tre vänner att signera din nyckel. När du samlat in dessa signaturer på din nyckelring, så skickar du ut din PGP-nyckel till alla du känner.
6. Kryptera ditt första mail.
Återigen finns det flera sätt. Om du kör ett mailprogram med PGP-plugins, så skriver du mailet som vanligt. När du är klar väljer du "PGP Encrypt/Sign" från en meny i ditt mail-program. Var du hittar PGP-menyerna är lite olika mellan olika mailprogram och olika plattformar. Du får iallafall upp en dialogruta med två fönster; i det övre ser du alla nycklar du har på din nyckelring och det nedre är tomt. Du drar nu mottagarens nyckel från det övre till det nedre fönstret (eller dubbelklickar på nyckeln), du kan ha hur många mottagare som helst och ta även med din egen nyckel, så att du själv kan öppna mailet ifall du spar det. Om du inte har ett mailprogram med plugins, så skriver du t.ex. din brevtext i en ordbehandlare. När du är färdig så kopierar du mailet till klippbordet. Nu finns flera metoder. I PGPtools kan du kryptera och dekryptera till och från klippbordet. Från musens högerknapp (eller mus+ctrl) kan du kryptera. Under Windows 95/98 har du en pgp-meny i toolbar med höger musknapp, där du kan välja "encrypt clipboard". Under MacOS har du PGPmenu automatiskt i Skrivtext och BBEdit, men kan i PGPs preferences ställa in så att du får en PGPMenu i din favorit ordbehandlare. Därefter kopierar du från klippbordet eller din ordbehandlare in i ditt mailprogram eller in i din browser, om du kör webbaserad mail. Att dekryptera inkommande mail fungerar på samma sätt. Att kryptera via plugins direkt i ett mailprogram är enklast, alla andra sätt är krångligare och omständigare. Om du ofta skickar mail till många personer, så kan du skapa "Groups" i PGPKeys, som innehåller allas PGP-nycklar, så slipper du dra 5, 15 eller 43 nycklar varje gång du krypterar något. I exemplet ovan så valde vi Kryptering och Signering, ta för vana att alltid signera allt. Signeringen är lika viktig som krypteringen. I PGP kan du även välja att enbart signera en text, utan att kryptera den, som ett äkthetsintyg, att textens avsändare är den han/hon/det uppger sig vara. På PC har du även tillgång till PGP via högermus-knapp i Utfoskaren och kan därigenom kryptera, signera, dekryptera och verifiera signaturer på filer. För att nå Wipe-funktionen, måste du starta PGPTools. På Mac har du samma funktioner under PGPMenyn i Finder, eller via musen+crtl-tangenten. Svårare än så här är det inte. Om du tycker att det låter lite krångligt, så kom ihåg att alla säkerhetsarrangemang är krångliga. Det som gör säkerhet enkelt är att man får rutin på det, men säkerhet innebär alltid att man måste sätta sig in i och förstå hur det fungerar.

Maximal säkerhet med PGP:

I alla säkerhetssystem gäller följande: det är inte säkrare än den svagaste länken. PGP är ett extremt säkert program, men har en svag punkt, användaren. Vi ska här ta upp de grundläggande sakerna du bör känna till när du använder PGP. Denna text är under permanent "konstruktion"!
A. Vad är "Faster Key Generation"? Om du inte vet det och anser dig vara en erfaren PGP-användare, så har du kommit rätt. Efter installation är PGP alltid inställt på "Faster...". Funktionen "Faster..." konstruerades för de PGP-användare som vill "skydda" sig mot sin lillasyster eller mot kollektivkamrater. Om du vill skydda dig mot myndigheter och underrättelsetjänster, så ska du inte köra med "Faster Key Generation". Du måste dessutom klicka av "Faster..." innan du skapar en nyckel för att det ska spela någon roll.
B. Varför ska man signera nycklar? Eller ska vi ställa frågan: varför signerar så få nycklar? Ibland får jag nya nycklar av vänner som skapat en ny. Det första jag gör är att kolla om de har signerat den nya nyckeln, med sin gamla nyckel. Att göra detta är liksom den allra enklaste och mest elementära nivån av säkerhetstänkande. Nästan varje gång jag kollar blir jag lika besviken. Detta illustrerar ett stort problem med PGP, att folk inte vet hur man ska använda systemet. Rent generellt - om man plockade bort all form av signering ur PGP, då skulle programmet vara skit och oanvändbart! Förutom att signera sina egna nycklar, så bör man skaffa signeringar från andra. Låt oss ponera ett paranoit exempel för att illustrera varför PGP inte är värt vatten om man inte använder signeringsfunktionerna: Vi har två personer, Lisa och Pelle, som ska använda PGP. En tredje part i dramat är MUST (Militärens Underrättelsetjänst). Lisa skickar sin PGP-nyckel till Pelle och Pelle sin till Lisa. De börjar omedelbart att maila en massa hemlisar och allt verkar stämma, alla brev kommer fram och de signerar alltid sina mail och de digitala signaturerna stämmer alltid. Systemet fungerar och alla är glada, men gladast är MUST, för de läser allt som Lisa och Pelle skriver till varandra. Lisa och Pelle har nämligen vaggats in i en falsk känsla av säkerhet, någonting är fel. Kuggfråga: vet du var felet finns? Jo, när Lisa skickade sin nyckel till Pelle, så fiskade MUST upp hennes mail. MUST gjorde en ny PGP-nyckel med namnet Lisa@hotmail.com och skickade vidare den till Pelle. MUST fiskade även upp Pelles nyckel och bytte ut den. Vi har alltså fyra nycklar, Lisa har en, Lasse har en och MUST har två. Vad som sker i verkligheten är att Lisa krypterar till MUST, när hon tror att hon krypterar till Lasse. MUST läser Lisas brev och krypterar i sin tur till Lasse. Lasse får Lisas brev och kontrollerar den digitala signaturen, allt ser ut att stämma eftersom den nyckel som Lasse har och tror är Lisas nyckel är i själva verket MUSTs nyckel. När Lasse kontrollerar signeringen, så använder han MUSTs "Lisa@hotmail.com"-nyckel. Hela systemet fungerar likadant i andra riktningen. Med andra ord - PGP ÄR SKIT OM DU INTE KONTROLLERAR NYCKLARNAS ÄKTHET. Exemplet ovan är i princip hämtat ur PGPs egen dokumentation, de är själva medvetna om problemet och nyckel-signeringen och fingerprint finns där för att åtgärda det hela. Problemet är att många använder PGP på ett felaktigt eller naivt sätt. Konceptet bakom nyckel-signeringen kallar PGP själva för "web of trust", som innebär att man bygger upp ett platt och icke-hierarkiskt säkerhetssytem genom att kors-signera varandras nycklar. Andra mer "traditionella" system arbetar med ett hierarkiskt system, där man har speciella "master"-keys, som signerar och går i god för alla andra nycklar. Det privata näringslivet vill ha hierarkiska system och därför finns det i PGP fr.o.m. version 5.0, så kallade ADK-nycklar. Vi använder dock inte ADK, utan folk måste lära sig vad web of trust är för något. Inom PGP-världen arrangeras regelbundet "key-signing parties", då PGP-användare träffas för att signera varandras nycklar. Kanske skulle vi ta efter detta lite och ha egna sådana i anslutning till rörelsens landsmöten, om inte annat så att folk förstår vikten av att göra det.
C. Ökad säkerhet med PGPDisk. Hur förvarar du saker lokalt på din hårddisk? Public key systemet är konstruerat för att man ska kunna skicka saker över internet och är inte speciellt lämpat för lokal lagring. Sedan PGP version 6.0, så ingår PGPDisk och du bör använda det, om inte annat för att det är faktiskt säkrare än PGPs public key system. Hur mycket säkrare det är, går inte att säga, bara att det är säkrare. Dessutom kan du öka säkerheten i PGP genom att förvara dina nyckelringar på en PGPDisk. PGPDisk initierar och hanterar krypterade virtuella hårddisk partitioner. På ett lite enklare språk: I PGPDisk kan du skapa filer, som fungerar som krypterade hårddiskar. Du väljer hur stor "PGP-hårddisken" ska vara, från diskett storlek till 2 Gigabyte, därefter ger du PGPDisken ett lösenord och anger ett namn samt var på din riktiga hårddisk filen ska ligga. När du ska använda din PGPDisk, så dubbelklickar du på filen, upp kommer en dialogruta där du får skriva in ditt lösenord. Därefter läggs PGPDisken upp, under PC som en ny enhets bokstav t.ex. F:/, under Mac med valfritt namn på skrivbordet. När du öppnat din PGPDisk, så ser den ut och uppför sig precis som en vanlig hårddisk, men allt är i verkligheten krypterat. Om du t.ex. flyttar en fil från din riktiga hårddisk till din PGPDisk, så kopieras och krypteras filen. Finessen är att krypteringen sker "osynligt" efter att du med lösenord en gång öppnat PGPDisken. När du är färdig stänger du PGPDisken, detta sker även automatiskt om datorn går i vila eller 15 minuter passerar utan att du använder PGPDisken. Efter hur lång tid PGPDisk ska auto-stängas kan du ställa in. Den säkerhetsmedvetne lägger in sina PGP-keys på sin PGPDisk och fanatikern lägger in hela program. Du kan t.ex. köra Eudora inifrån PGPDisk, så att det inte finns ett spår efter dina mail på hårddisken.
D. Ökad säkerhet med Wipe Free Space. Vissa program är jobbiga, t.ex. om du har ett word-dokument på din PGPDisk och börjar arbeta med det i Word, så kommer Word kontinuerligt medans du skriver att spara ned tillfälliga kopior av ditt dokument på hårddisken. Detta gör Word alltid och du kan inte stänga av funktionen, vissa andra program fungerar likadant. Enda sättet att komma åt dessa okrypterade kopior av ditt dokument är att starta PGPTools och välja Wipe Free Space, som skriver över allt ledigt utrymme på din hårddisk. PGPs Wipe Free Space är inte jämförbart med liknande fristående program, då PGP skriver över din hårddisk på ett "vetenskapligt" sätt. Med detta menas att PGP gör detta på ett nästan unikt sätt, för att förhindra avancerad dataåterskapning i laboratorier, där man tar din hårddisk och dissikerar den under magnetiska elektronmikroskop. Om du får panik och vill förstöra hårddisken för att dölja bevismaterial, så är det eventuellt effektivare att köra PGPs Wipe Free Space på maximal styrka framför att försöka elda upp hårddisken. Det säkraste är naturligtvis att göra både och, men detta var mer en illustration till vad Wipe Free Space egentligen gör för något. Wipe Free Space skadar inte hårddisken på något sätt, du kan göra det regelbundet utan att förkorta hårddiskens livslängd.

Ladda ner PGP/GnuPGP:

Downloads @ pgpi.org
PGP, PGPDisk, etc.

GNU Privacy Guard (GPG)
GnuPG is a complete and free replacement for PGP. Because it does not use the patented IDEA algorithm, it can be used without any restrictions. GnuPG is a RFC2440 (OpenPGP) compliant application.

Finns för Linux/Unix, Windows och Mac.

Som PGP Tools, men baserat på GnuPG. Fri källkod och annat trevligt.