Informationssikkerhed er et af de vigtigste spørgsmål, som virksomheder står over for i dag. Aflytning af en e-mail kan resultere i alvorlige økonomiske tab. Korrekt brug af sikkerhedscertifikater er nødvendig, men hvad er de, og hvad er fordelene ved at bruge dem?
Hvordan beskeder sendes via e-mail
Når en e-mail "sendes", hvad betyder det? Det er skrevet ved kilden, sendt fra én pc til en e-mail-server, og derfra dirigeres det til internettet. I teorien vil den blive blandet fra et punkt til et andet, indtil den når sin destination og læses af modtageren. Disse punkter derimellem er dog potentielt sårbare over for det, der kaldes et "Man in the Middle"-angreb - nogen, der lader som om de bare sender budskabet videre, men i virkeligheden læser de det selv eller ændrer sig det. Derfor bruges kryptering.
Sådan fungerer kryptering
Der er forskellige slags certifikater, der bruges til forskellige formål eller sikkerhedsniveauer. Det meste kryptering er baseret på en standard "offentlig" og "privat" nøglemetode. Alle, der bruger systemet, vil have en af begge: en offentlig nøgle, som alle andre kan se og bruge, og en privat nøgle, som kun du skal have adgang til. Når en e-mail sendes, bliver den krypteret to gange - én gang med afsenderens private nøgle (f.eks. ved hjælp af en S/MIME-certifikat), og én gang med modtagerens offentlige nøgle (som afsenderen kender) - f.eks. en SSL certifikat. Kun den private nøgle kan dekryptere den offentlige nøgle og omvendt. Dette betyder, at Man in the Middle-angribere ikke bør være i stand til at læse beskeden (de har ikke modtagerens private nøgle) og de vil heller ikke være i stand til at ændre beskeden (hvis de ændrede den, ville den ikke længere være underskrevet af afsenderens private nøgle). Modtageren bruger derefter to nøgler til at dekryptere beskeden og verificerer derved, at kun den rigtige afsender kunne have krypteret og underskrevet den, og også at ingen andre var i stand til at læse den. Så længe matematikken, der blev brugt til kryptering, var stærk nok, er systemet rimeligt sikkert, og det er blevet vedtaget over hele verden som en standardsekvens.
Fordele ved certifikatkryptering
Ud over åbenlyse bekymringer om privatlivets fred (hvem ønsker at tilfældige fremmede læser deres e-mails?), er de primære fordele økonomiske. Opsnappede e-mails kan resultere i, at en konkurrent lærer en virksomheds forretningshemmeligheder, hvilket naturligvis ville være skadeligt. Til gengæld kan dette føre til retssager fra personer, der bruger systemet, og som har en rimelig forventning om sikkerhed i deres kommunikation. Derudover giver sikkerhedscertifikater en virksomhed mulighed for at opfylde grundlæggende sikkerhedsstandarder for overholdelse og licensregler. Det er vigtigt at bekræfte identiteten af den oprindelige afsender via S/MIME digitale signaturer af andre årsager: hvis en angriber var i stand til at efterligne afsender, kunne de udstede falske direktiver eller (mere sandsynligt) sende "phishing"-svindel-e-mails - hvilket åbner modtageren for endnu mere sikkerhed sårbarheder. Hvis en modtager troede, at de havde åbnet en e-mail fra en pålidelig kilde, ville de være villige til at åbne vedhæftede filer eller klikke på links, der installerer virus på deres computere, og når en enkelt computer i et netværk er inficeret på denne måde, kan en dygtig hacker bruge det fodfæste til at udvide deres tilstedeværelse eller kontrollere mange andre maskiner for ondsindet formål.
Når vi går ind i det næste årti, er det mere indlysende end nogensinde før, at information skal være sikker, så folk kan føle sig trygge, og virksomheder kan trives. Der er ingen at sige, hvor meget skade hackere kan forårsage i den nærmeste fremtid, og e-mail-sikkerhedscertifikater er en af flere standardforretningspraksis, som alle bør være med på.