Informasjonssikkerhet er en av de viktigste problemene bedrifter står overfor i dag. Avlytting av en e-post kan resultere i alvorlig økonomisk tap. Riktig bruk av sikkerhetssertifikater er nødvendig, men hva er de og hva er egentlig fordelene ved å bruke dem?
Hvordan meldinger sendes over e-post
Når en e-post er "sendt", hva betyr det? Den er skrevet ved kilden, sendt fra én PC til en e-postserver, og derfra rutes den til internett. I teorien vil den stokkes fra ett punkt til et annet til den når destinasjonen, og leses av mottakeren. Imidlertid er disse punktene i mellom potensielt sårbare for det som kalles et "Man in the Middle"-angrep - noen som later som de bare sender meldingen videre, men i virkeligheten leser de den selv, eller endrer seg den. Dette er grunnen til at kryptering brukes.
Hvordan kryptering fungerer
Det finnes forskjellige typer sertifikater, som brukes til forskjellige formål eller sikkerhetsnivåer. Det meste av kryptering er basert på en standard "offentlig" og "privat" nøkkelmetode. Alle som bruker systemet vil ha en av begge: en offentlig nøkkel, som alle andre kan se og bruke, og en privat nøkkel, som bare du skal ha tilgang til. Når en e-post sendes, blir den kryptert to ganger – én gang med avsenderens private nøkkel (for eksempel ved å bruke en S/MIME-sertifikat), og én gang med mottakerens offentlige nøkkel (som avsenderen vil kjenne til) – for eksempel en SSL sertifikat. Bare den private nøkkelen kan dekryptere den offentlige nøkkelen, og omvendt. Dette betyr at Man in the Middle-angripere ikke skal kunne lese meldingen (de har ikke mottakerens private nøkkel) og de vil heller ikke kunne endre meldingen (hvis de endret den, vil den ikke lenger være signert av avsenderens private nøkkel). Mottakeren bruker deretter to nøkler for å dekryptere meldingen, og bekrefter dermed at bare den virkelige avsenderen kunne ha kryptert og signert den, og også at ingen andre kunne lese den. Så lenge matematikken som ble brukt i kryptering var sterk nok, er systemet rimelig sikkert, og det har blitt tatt i bruk over hele verden som en standardsekvens.
Fordeler med sertifikatkryptering
I tillegg til åpenbare personvernhensyn (hvem vil at tilfeldige fremmede leser e-postene deres?), er de primære fordelene økonomiske. Avlyttede e-poster kan føre til at en konkurrent lærer bedriftens forretningshemmeligheter, noe som åpenbart vil være skadelig. Dette kan igjen føre til søksmål fra personer som bruker systemet som har en rimelig forventning om sikkerhet i kommunikasjonen. I tillegg lar sikkerhetssertifikater et selskap møte grunnleggende sikkerhetsstandarder for samsvar og lisensieringsforskrifter. Å bekrefte identiteten til den opprinnelige avsenderen via S/MIME digitale signaturer er viktig av andre grunner: hvis en angriper var i stand til å etterligne avsender, kan de utstede falske direktiver, eller (mer sannsynlig) sende "phishing" svindel-e-poster - åpne mottakeren for enda mer sikkerhet sårbarheter. Hvis en mottaker trodde de hadde åpnet en e-post fra en pålitelig kilde, ville de være villige til å åpne vedlegg eller klikke på koblinger som installerer virus på datamaskinene deres, og når en enkelt datamaskin i et nettverk er infisert på denne måten, kan en dyktig hacker bruke det fotfestet til å utvide sin tilstedeværelse eller kontrollere mange andre maskiner for skadelig formål.
Når vi går inn i det neste tiåret, er det mer åpenbart enn noen gang at informasjon må være sikker for at folk skal føle seg trygge og bedrifter skal blomstre. Det er ingen å si hvor mye skade hackere kan forårsake i nær fremtid, og e-postsikkerhetssertifikater er en av flere standard forretningspraksis som alle bør være med på.