Informationssäkerhet är en av de viktigaste frågorna som företag står inför idag. Avlyssning av ett e-postmeddelande kan resultera i allvarlig ekonomisk förlust. Korrekt användning av säkerhetscertifikat är nödvändigt, men vad är de och exakt vilka är fördelarna med att använda dem?
Hur meddelanden skickas via e-post
När ett e-postmeddelande "skickas", vad betyder det? Det är skrivet vid källan, skickat från en dator till en e-postserver och därifrån dirigeras det till internet. I teorin kommer den att blandas från en punkt till en annan tills den når sin destination och läses av mottagaren. Men dessa punkter däremellan är potentiellt sårbara för vad som kallas en "Man in the Middle"-attack - någon som låtsas bara föra meddelandet vidare, men i verkligheten läser de det själva eller ändrar sig den. Det är därför kryptering används.
Hur kryptering fungerar
Det finns olika typer av certifikat, som används för olika ändamål eller säkerhetsnivåer. De flesta krypteringar är baserade på en standardmetod för "offentlig" och "privat" nyckel. Alla som använder systemet kommer att ha en av båda: en offentlig nyckel, som alla andra kan se och använda, och en privat nyckel, som bara du ska ha tillgång till. När ett e-postmeddelande skickas krypteras det två gånger - en gång med avsändarens privata nyckel (till exempel med en S/MIME-certifikat), och en gång med mottagarens publika nyckel (som avsändaren kommer att känna till) - t.ex. en SSL certifikat. Endast den privata nyckeln kan dekryptera den offentliga nyckeln och vice versa. Detta innebär att Man in the Middle-angripare inte ska kunna läsa meddelandet (de har inte mottagarens privata nyckel) och de kommer inte heller att kunna ändra meddelandet (om de ändrade det skulle det inte längre signeras av avsändarens privata nyckel). Mottagaren använder sedan två nycklar för att dekryptera meddelandet, och verifierar därigenom att endast den riktiga avsändaren kunde ha krypterat och signerat det, och även att ingen annan kunde läsa det. Så länge matematiken som användes i kryptering var tillräckligt stark är systemet någorlunda säkert, och det har antagits över hela världen som en standardsekvens.
Fördelar med certifikatkryptering
Förutom uppenbara integritetsproblem (vem skulle vilja att slumpmässiga främlingar läser deras e-postmeddelanden?), är de främsta fördelarna ekonomiska. Avlyssnade e-postmeddelanden kan resultera i att en konkurrent lär sig ett företags affärshemligheter, vilket uppenbarligen skulle vara skadligt. Detta kan i sin tur leda till stämningar från personer som använder systemet och som har rimliga förväntningar på säkerhet i sin kommunikation. Dessutom tillåter säkerhetscertifikat ett företag att uppfylla grundläggande säkerhetsstandarder för efterlevnad och licensieringsregler. Att verifiera identiteten för den ursprungliga avsändaren via S/MIME digitala signaturer är viktigt av andra skäl: om en angripare kunde imitera avsändare kan de utfärda falska direktiv eller (mer sannolikt) skicka "phishing"-bedrägeri-e-postmeddelanden - vilket öppnar mottagaren för ännu mer säkerhet sårbarheter. Om en mottagare trodde att de hade öppnat ett e-postmeddelande från en pålitlig källa, skulle de vara villiga att öppna bilagor eller klicka på länkar som installerar virus på sina datorer, och när en enda dator i ett nätverk är infekterad på detta sätt kan en skicklig hackare använda det fotfästet för att utöka sin närvaro eller kontrollera många andra maskiner för skadlig syften.
När vi går in i nästa decennium är det mer uppenbart än någonsin att information måste vara säker för att människor ska känna sig säkra och för att företag ska blomstra. Det går inte att säga hur mycket skada hackare kan orsaka inom en snar framtid, och e-postsäkerhetscertifikat är en av flera standardaffärsmetoder som alla borde vara med på.