kryptert epost

[siljebuddy]

jeg leter etter en enkel tjeneste for epost kryptering, jeg fant sikker melding via google og den virker grei selv om den ser ut til å være i beta. noen som har erfaring med dette selskapet eller lignende tjenester?

Endret 6. oktober 2011 av siljebuddy

[nomore]

jeg fant www.sikkermelding.no via google

Du gjorde det ja? Merkelig siden eg ikke klarer å se den tjenesten på de tre første sidene når eg søker etter "epost kryptere", "kryptere epost", "melding kryptere", "kryptere melding" eller "kryptere epost melding". Unntaket var, naturligvis, denne posten.

 

Mistenker snikreklame, og det hadde eg ikke forventet fra et såpass seriøst selskap som Commfides, som står bak tjenesten det blir linket til, prøver å fremstå som. Eg hadde forventet mer, for å være ærlig.

[siljebuddy]

jeg fant www.sikkermelding.no via google

Du gjorde det ja? Merkelig siden eg ikke klarer å se den tjenesten på de tre første sidene når eg søker etter "epost kryptere", "kryptere epost", "melding kryptere", "kryptere melding" eller "kryptere epost melding". Unntaket var, naturligvis, denne posten.

 

Mistenker snikreklame, og det hadde eg ikke forventet fra et såpass seriøst selskap som Commfides, som står bak tjenesten det blir linket til, prøver å fremstå som. Eg hadde forventet mer, for å være ærlig.

[siljebuddy]

Du er en ekte konspirasjonsteoretiker forstår jeg.

jeg søkte faktisk på privat "sikker melding" men ta i!

 

Du klarer sikkert å skape noe konspiratorisk ut av det.

[nomore]

Om det skulle vise seg at eg tar feil, så skal eg være den første til å beklage meg. Men i det siste har det vært unormalt mange førstegangsposter som tilsynelatende spør om erfaringer om ei nettside. Og, eg beklager, men eg er drittlei disse intetsigende innleggene som kun er laget for å skape trafikk til nettsiden uten noe faglig, redaksjonelt eller annen nyttig info.

 

Og eg klarer fortsatt ikke se tjenesten listet opp ved å søke på "privat sikker melding" eller "sikker melding". Så eg står ved mistanken min fortsatt.

[siljebuddy]

Jeg er genuint interesert i å finne en løsning og ba om råd? Tjenesten jeg fant er ikke i drift, men den virket ok ved første øyekast, så jeg ba om hjelp til å finne noe bedre eller tilsvarende.

 

jeg forstår ikke helt hvorfor du er så sint, er det ulovlig å be om råd på dette forumet?

 

jeg er ikke kyndig på noen måte og dette forumet

virket som et bra sted å be om hjelp? Dette er tydeligvis en feilantagelse av meg.

 

jeg søkte:

 

privat "sikker melding"

 

og det var første treff på google.

Endret 6. oktober 2011 av siljebuddy

[conundrum]

Jeg aner ikke hvordan "sikkerepost.no" er ment å fungere, men det finnes allerede standarder for e-postkryptering og -signering: S/MIME og PGP/GPG.

 

Ethvert slikt system vil imidlertid treffe på de samme problemene:

 

1. Både sender og mottaker må bruke det aktuelle systemet hvis det skal være noen vits.

 

Dermed vil det være en stor fordel å velge et system som det enten er lett å integrere i vanlige e-postsystemer, eller noe som allerede er en standard. S/MIME støttes av det aller meste som finnes av e-postsystemer, mens PGP/GPG lett kan integreres i de fleste klientsystemer, med mulig unntak av webmail-systemer.

 

2. Krypteringsnøkler må utveksles.

 

Dette kommer man ikke utenom, uansett system. S/MIME løser dette ved å bruke sertifikater. PGP/GPG benytter keyservere og manuell nøkkelutveksling.

 

Hva er den konkrete problemstillingen i dette tilfellet? Er det snakk om privat e-postbruk eller en bedriftsløsning, og hvem skal man kommunisere med?

[siljebuddy]

det skal brukes i et idrettslag hvor det har oppstått en situasjon som gjør at vi ønsker å sikre kommunikasjonen bedre.

 

s/mime og pgp sier meg ikke så mye akkurat? beklager jeg har ikke peiling på dette. vi har ikke så mye middler så vi vil helst unngå store utlegg.

 

dette blir alt for komplisert vi får finne på noe annet

Endret 6. oktober 2011 av siljebuddy

[eladmir]

Vil påpeke at Epost ikke er et egnet medium for sensiv informasjon.

 

Har selv jobbet i idrettskretsen og har flere ganger opplevd "sedlighetssaker" som er svært sensitivt. Har opplevd at slike sakar har kommet på avveie pga Epost.

 

Anbefaller å bruke brev, det er sikrere selvom det ikke sendes rekomandert.

 

Epost er aldri en god måte å kommunisere sensitiv materiell på, da det er lett å videresende eller svare til personer som ikke har noe med saken å gjøre.

 

Noen ganger er rekomandert post eneneste måten å sikre at ting ikke kommer på avveie.

[conundrum]

det skal brukes i et idrettslag hvor det har oppstått en situasjon som gjør at vi ønsker å sikre kommunikasjonen bedre.

 

s/mime og pgp sier meg ikke så mye akkurat? beklager jeg har ikke peiling på dette. vi har ikke så mye middler så vi vil helst unngå store utlegg som rekomandert post.

Både PGP og S/MIME baserer seg på asymmetrisk kryptering, "public key cryptography". Det fungerer slik at krypteringsnøkkelen er delt i to, og den ene halvdelen publiserer du til offentligheten på en eller annen måte.

 

Krypteringen fungerer slik:

 

- Alle som vil sende e-post til deg, krypterer denne med din offentlige nøkkel. Bare du vil kunne lese den ved å dekryptere den med den private (delen av) nøkkelen.

 

- Når du skal sende e-post til noen, krypterer du e-posten med mottakers offentlige nøkkel. Da må man ha vedkommendes private nøkkel for å dekryptere.

 

I tillegg kan man velge å signere e-post man sender. Da vil det være umulig for en tredjeperson å endre e-postens innhold uten at signaturen blir ugyldig.

 

Ingen av standardene krever kostbare investeringer. GPG er en fri og gratis implementasjon av PGP og finnes til Windows, Mac og Linux. Gratis plug-ins til Outlook, Thunderbird m.fl. er tilgjengelig. Krypteringsnøklene genererer man selv, og den eneste utfordringen er å få den offentlige nøkkelen levert til mottakerne, men det finnes publiseringsservere til dette formålet (også gratis).

 

S/MIME bruker krypteringsnøkler i sertifikater signert av en tredjepart. Slike sertifikater må man vanligvis betale for å få, men flere levarandører tilbyr slike gratis. Siden S/MIME-støtten er innebygget i e-postklientene, kreves ingen ekstra programvare.

 

Dersom man har behov for å lese kryptert mail på web, blir det noe vanskeligere. Leverandører som GMail o.l. kan nødvendigvis ikke dekryptere din e-post, fordi de ikke har din private nøkkel. Dersom de hadde den, ville det vært et betydelig sikkerhetsproblem. Løsningen kan være plug-ins til nettleseren, slik som denne til Firefox.

 

Hvis man bruker slike løsninger, er e-post et helt greit medium til sensitiv informasjon. Konsekvensene av f.eks. å sende til feil mottaker er lik null.

[siljebuddy]

Vil påpeke at Epost ikke er et egnet medium for sensiv informasjon.

 

Har selv jobbet i idrettskretsen og har flere ganger opplevd "sedlighetssaker" som er svært sensitivt. Har opplevd at slike sakar har kommet på avveie pga Epost.

 

Anbefaller å bruke brev, det er sikrere selvom det ikke sendes rekomandert.

 

Epost er aldri en god måte å kommunisere sensitiv materiell på, da det er lett å videresende eller svare til personer som ikke har noe med saken å gjøre.

 

Noen ganger er rekomandert post eneneste måten å sikre at ting ikke kommer på avveie.

 

vi har en lignende utfordring slik det ser ut vil vi nok ende opp på rekomandert post. vi skal titte på forslaget over og se om vi får det til først.

 

til alle som har bidratt positivt tusen takk for hjelpen.

Endret 6. oktober 2011 av siljebuddy

[nomore]

Vel, da har du bevist at eg tok feil, og det er på sin plass for meg å beklage mistenkeliggjøringen min av deg og dine intensjoner. Eg lar postene mine stå uendret, men om ønskelig kan eg redigere innholdet noe.

 

E-post bør betraktes som postkort. Det du ikke kan skrive på et postkort og sende av gårde, kan du heller ikke skrive i en e-post og sende av gårde. Det er det fine med e-post, men også problemet og utfordringen.

 

Problemstillingen din er ikke ny, og det som gjør det vanskelig er lite(eller manglende) budsjett, mange personer med forskjellig bakgrunn og kompetanse, og i tillegg har alle som regel hver sin konto i fra før hos forskjellige leverandører. Og dette gjør det vanskelig, om ikke umulig, å lage til en felles løsning for kryptering av meldinger/e-post.

 

Som conundrum nevner er PGP den mest fleksible og den løsningen som fungerer hos de fleste leverandører av e-post. For at det skal være enkelt å brke så krever det dog at klienten støtter det, men det gjør de fleste i dag, evnt med et lite tillegg. Alternativt kan du kryptere/dekryptere alle meldingene selv, utenfor e-postløsningen, men det krever en del opplæring/tilvenning.

 

Det du står igjen med, rent praktisk og når alt kommer til alt, er en separat tjeneste for sending/mottak av krypterte meldinger, og kun det. Eg kjenner dessverre ikke til noen her, så eg kan ikke hjelpe med det. Men siden Commfides står bak den opprinnelige tjenesten du linket til, så har de kompetanse på området og løsningen vil derfor sannsynligvis være sikker og solid. At det kun er en beta trenger ikke være negativt, da det kan bety at du/dere kan være med på å få løsningen slik dere ønsker ved å komme med tilbakemeldinger og innspill/ønsker.

[siljebuddy]

Det var stort av deg, jeg må nesten beklage jeg og, jeg tok deg for å være et typisk forum troll.

 

jeg skal ringe dem i dag og spørre om de kan hjelpe oss, vi får se hva vi får til. vi prøvde å få igang pgp men det var ikke så enkelt for oss, vi fikk det ikke til å virke

[nomore]

PGP er dessverre komplisert. Og selv om dere får det til å fungere så må dere sørge for opplæring av alle som skal bruke det, samt bruke det regelmessig eller dokumentere fremgangsmåten godt(så dere har en manual til senere bruk). Eg kjenner godt til situasjonen deres, og når de fleste bruker sin fritid på å få organisasjonen til å fungere(samt å holde aktiviteten i gang, som er hovedinteressen til de fleste) så er kompliserte tekniske løsninger/rutiner det siste noen orker å bruke (fri)tiden sin på. Noe eg kan forstå godt.

 

Hvor mange brukere, eller kontoer/avsendere, er det snakk om? Har dere felles IT systemer i dag eller går all kommunikasjon på kryss av private og jobbkontoer?

[xcomiii]

Kryptering av epost er komplisert enten man bruker S/MIME eller PGP, så lenge man ikke jobber med dette som yrke. Kanskje det hadde vært lettere å sette opp en webserver med forum e.l så medlemmer må logge seg inn for å sende PM/poste?

[siljebuddy]

Alle brukerne er på hjemmesystemer/jobb det er ikke noe felles it system.

Jeg snakket med dem i dag og de har en løsning med kode via sms eller noe slikt som vi kan prøve ut gratis, så vi får se hvordan det virker i praksis. I all sannsyliget vil vi ende opp på rekomandert post tror jeg, vi får se hvordan det går.

Vi vurderte et medlems system med innlogging men da står plutselig laget ansvarlig for oppbevaring av sensitiv data og det blir enda værre, da må vi søke tillatelse og investere i utstyr, så vi slo det fra oss ganske tidlig.

forskning på dette tar veldig mye tid faktisk... jeg hadde ingen anelse om hvor komplisert dette egentlig er.. hadde jeg vist ville vi bare gått for posten for lenge siden.

Endret 7. oktober 2011 av siljebuddy

[xcomiii]

Vel, uansett om dere leier serverplass, eller går for en kryptert mail løsning e.l, så er reglene fra Datatilsynet like. Og det gjelder også om sensitive personopplysninger befinner seg på papir/post.

Vil ihvertfall høre med Datatilsynet hva de anbefaler og hvilke regler som gjelder for dere.

[siljebuddy]

uff du har rett! vi snakket ned datatilsynet og dette er veldig vanskelig, vi må kunne forhindre utilsiktet innsyn uansett kanal. Jeg blir helt oppgitt, vi ser ikke noen god løsning på dette her.

Endret 7. oktober 2011 av siljebuddy

[nomore]

Vel, se det fra andre sitt ståsted. Når dere behandler konfidensiell informasjon så er det godt å vite at dere tar ansvar for dette, og sørger for at den er tilstrekkelig sikret?

 

Eg vet ikke om det hjelper, men du/dere skal ha berømmelse for å i det minste se på problematikken og vurdere alternativer. Dere er ikke alene om problemet, og det er dessverre mange idrettslag og andre organisasjoner som svikter totalt når det kommer til personvern og sikring av konfidensiell informasjon.

 

Eg skulle gjerne sagt meg villig til å lage en løsning for dere(og andre med samme behov), men problemet mitt er mangel på tid, samt at eg vil bli pålagt minst like strenge krav som dere fra Datatilsynet, og det som strengere er.

 

Men det er jo ikke utenkelig at andre her føler et kall til å se på en løsning?

[siljebuddy]

det er fælt å si det men jeg kan forstå hvorfor folk flest bare ser den andre veien og ignorerer disse problemstillingene. Det er rene minefeltet og de fleste løsningene er fryktelig kompliserte, eller fryktelig dyre.

 

For frivillig arbeid er det tilnærmet umulig, jeg har test comfides løsningen den virker jo, men er ikke lansert. Jeg vet ikke om det er veien å gå for oss. Jeg aner ikke hva det kommer til å koste eller om det blir tilgjengelig for offentligheten.

 

vår konklusjon er at vi kommer til å bruke rekomandert post frem til et reelt praktisk alternativ kommer på banen.

Endret 7. oktober 2011 av siljebuddy