Opdaterede links til download af gratis og simple krypteringsværktøjer fra Cryptoguide for journalister
Værktøjer til digitalt selvforsvar
E-mails, sms’er, opkald, chats og netsurfing: I dag kan alt, vi foretager os på internettet og med vores telefoner, overvåges og registreres. Internet- og teleudbydere, it-kriminelle, webtjenester og arbejdsgivere har adgang til information om, hvad vi søger efter på nettet, hvem vi kommunikerer med, hvornår og hvorfra kommunikationen foregår, og hvad den indeholder. Myndighederne kan kræve disse oplysninger udleveret og iværksætte målrettet overvågning af udvalgte computere og telefoner.
Derfor er det vigtigt at vide, hvordan man beskytter sig selv, sine kontakter og sit materiale mod digital overvågning. Her kan du finde links til download af 20 konkrete krypteringsværktøjer fra bogen Cryptoguide for journalister.
OPEN SOURCE
Alle værktøjerne er gratis open source-programmer. Det betyder, at programmernes kildekode er offentlig, så alle kan se, hvordan de er lavet og hjælpe med at opdage eventuelle sikkerhedsbrister. Programmerne her er alle blevet grundigt testede af uafhængige it-sikkerhedseksperter og organisationer.
Før du går igang
Godt digitalt selvforsvar handler ikke først og fremmest om værktøjer. Overvågning og andre trusler mod den digitale sikkerhed forandrer sig hele tiden, og det samme gør de værktøjer, der kan beskytte dig. Derfor er det ikke væsentligt, hvilke værktøjer man bruger, men at man kan forstå og analysere udfordringerne og lægge en realistisk plan for, hvordan man imødegår dem. Her følger et par råd til, hvordan du tænker sikkerhedsbevidst.
Det første gode råd er, at du skal sikre dig i hverdagen. Hvis du
først begynder at bruge krypteringsværktøjer, når det brænder på, er det en adfærdsændring, som i sig selv er mistænkelig. Det gør det let at adskille den krypterede del af din kommunikation fra resten af dit arbejde.
Hvis du gør digital sikkerhedsbevidsthed til en del af din hverdagsrutine, er du med til at sikre den nødvendige baggrundsstøj, der gør det lettere for både dig selv og dine kolleger, når der er særligt brug for beskyttelse.
Når du får fat i en historie eller sag, der kræver ekstra beskyttelse, er det vigtigt at du kan opgradere sikkerhedsniveauet. Derfor er det andet gode råd er, at du skal foretage en realistisk trusselsvurdering og lægge en sikkerhedsplan med afsæt i de konkrete trusler.
Kryptering af e-mails er godt, men hvis den største trussel i din konkrete situation er en arbejdsgiver, der har adgang til arbejdscomputere eller telefoner hjælper det ikke meget.
De værktøjer, du vælger, skal være både effektive og til at finde ud af for alle deltagere. Hvis værktøjerne er for besværlige, begynder man at finde smutveje uden om sikkerhedsrutinerne – og så virker de slet ikke. Og hvis de er så komplicerede, at ikke alle implicerede kan overholde dem, kan der opstå ødelæggende sikkerhedsbrister.
Når du arbejder med en følsom sag eller historie, må du ikke på noget tidspunkt slække på kontrollen, så du for eksempel efterlader følsomt udstyr ubevogtet eller glemmer dokumenter. Det gælder ikke mindst, hvis du taler over dig i sociale sammenhænge. Foruroligende mange følsomme informationer bliver afsløret ved værtshuspral og slet skjulte antydninger i en brandert. De fleste sikkerhedsbrud sker på grund af skødesløshed snarere end fordi det lykkes en modpart at nedbryde et digitalt forsvar.
I bogen Cryptoguide for journalister kan du læse mere om digital sikkerhedsbevidsthed og operationel sikkerhed for journalister og andre.
1
2
Stærke kodesætninger
At vælge stærke kodesætninger og bruge dem rigtigt
er et af de vigtigste led i det digitale selvforsvar.
I dag bruger vi kodeord til mange ting som mailkonti, netbank, sociale medier, streamingtjenester og netbutikker, og vi bliver konstant bedt om at finde på nye. Fordi det er svært at huske mange kodeord, genbruger folk ofte de samme mange gange. Det er en rigtig dårlig idé, fordi det giver adgang til mange konti, hvis blot et enkelt kodeord bliver brudt. Det er samtidig oftest kodeord, som er meget nemme at gennemskue, fordi de skal være til at huske for den menneskelige hjerne. Det betyder, at de er for korte, for simple og følger gennemskuelige mønstre, for eksempel kode123, din fødselsdag, din kats navn eller lignende.
Du bør derfor undgå at genbruge dine kodeord og undgå gennemskuelige koder. Men det er umuligt at huske så mange forskellige og tilfældigt komponerede kodeord, som du har brug for. Derfor skal du bruge en password manager.
En password manager er et program, som hjælper med at oprette og gemme et stort antal stærke kodeord på en sikker måde. Programmet hjælper med at finde på stærke kodeord, som er så komplekse og tilfældige, at de er umulige at gætte. Det fungerer samtidig som en slags krypteret pengeskab for alle dine kodeord, som det beskytter med et enkelt masterkodeord. Du kan så åbne pengeskabet og se de kodeord, programmet har oprettet, men du behøver kun at huske det ene masterkodeord. Det skal du til gengæld være sikker på, at du ikke mister.
KeePassX er en gratis og velafprøvet open source password manager.
Selvom du bruger en password manager, har du brug for nogle få, meget stærke koder til de kryptografiske værktøjer, som du bruger til at beskytte dine data. Det gælder dit masterkodeord til din password manager, dit backup drev og måske også særligt vigtige krypterede USB’er eller filer.
Særligt vigtigt er det at have en stærk kode på din computer eller telefon, hvis du beskytter dem med fuld diskkryptering, så man ikke kan åbne dem uden koden.
Til det skal du bruge lange og ubrydelige kodeord - eller snarere kodesætninger – et enkelt ord er nemlig ikke nok til at beskytte dine vigtige data. Disse vigtige kodesætninger bør kun være gemt i din menneskelige hukommelse og skal derfor kunne huskes. Samtidig må de ikke være mulige at knække med et kodebrydningsprogram.
Computere er i dag så hurtige, at de kan gætte selv helt tilfældige kodeord, hvis de er kortere end 10 karakterer. Kodebrydningsprogrammer kan tjekke millioner af kodeordskombinationer i sekundet og arbejde i mange dage på mange simultane maskiner. De kan søge både på den computer, der er under angreb, og på offentligt tilgængelig information om ejeren. Så hvis du på et tidspunkt har gemt kodeordet på din computer, eller hvis du har brugt personlig information som eksempelvis din fødselsdato, er det nemt at knække. Programmerne bruger ordbøger på forskellige sprog og kender de gængse erstatninger med symboler i stedet for bogstaver, som @ for a, $ for s og så videre.
En stærk kodesætning er en, som denne proces ikke kan knække.
Her er fem hovedregler for stærke kodesætninger:
Din kodesætning skal være over 10 karakterer lang.
Den skal laves manuelt, for eksempel på et stykke papir.
Den skal kun være kendt af dig og kunne opbevares udelukkende i din hukommelse.
Den skal være nem for dig selv at huske og taste korrekt, men svær for andre at gætte – selv for folk, der kender dig godt.
Du bør undgå at genbruge kodesætninger flere steder for at minimere skaden, hvis en af dem bliver knækket.
I bogen Cryptoguide for journalister kan du finde en udførlig guide til installering og brug af KeePassX, gennemgang af metoder til at oprette sikre kodesætninger (blandt andet Schneiers system og Diceware-metoden) og instruktion i fuld diskkryptering af din computer og telefon.
1
2
4
5
3
Nøglekryptering
Når du krypterer bruger du og den, du kommunikerer med, et nøglepar, der gør, at kommunikationen ikke kan læses af uvedkommende på vejen mellem jer, lidt ligesom forskellen på at skrive noget på bagsiden af et postkort og i en lukket kuvert. Men man kan stadig se metadata om hvem, der kommunikerer med hvem, hvornår og hvad der eksempelvis står i emnefeltet på e-mails.
1. Til din smartphone
Smartphonen er i dag et helt uundværligt redskab for de fleste, ikke bare til at ringe og sms’e fra, men også til at gå på nettet og sociale medier med. Den bliver brugt til at lagre mange oplysninger i form af beskeder, mails, chatsamtaler på Facebook, billeder og lydoptagelser.
Desværre er den samtidig et meget usikkert redskab. Smartphones har ikke samme muligheder for kryptering som bærbare computere, de er nemmere at overvåge udefra og så er det langt mere almindeligt at få en telefon stjålet eller glemme den, end det er med computer. Samtidig logger telefonen hele tiden oplysninger, som kan afsløre, hvor den befinder sig, når man går på nettet, sms’er og ringer.
Selvom smartphones indebærer flere risici end computere, har du alligevel gode muligheder for at gøre din telefon mere sikker. For det første kan du beskytte indholdet på telefonen med fuld diskkryptering og slå en stærk adgangskode til. For det andet kan du nemt downloade en app til at kryptere dine beskeder og samtaler.
Opkald: Hvis du vil undgå, at udvedkommende kan lytte med på dine samtaler eller læse dine beskeder, kan du downloade den gratis open source app Signal, som krypterer indholdet af dine opkald og beskeder. Det kræver, at modtageren også har installeret Signal.
Når du har installeret Signal og givet din telefon tilladelse til, at den kan hente dine kontakter, kan du ringe og skrive krypteret med de af dine kontakter, der også har en Signal installeret. Du åbner simpelthen appen og finder din kontakt i den. Hvis personen også har Signal, kan du se, at samtalen automatisk bliver krypteret. Lydkvaliteten kan være en lille smule dårligere end i almindelige opkald.
Signal er udviklet af firmaet Open Whisper Systems, som blandt andre Edward Snowden anbefaler. Appen fungerer på tværs af styresystemer, så Android- og iPhone-brugere kan kommunikere med hinanden.
OBS! Bemærk at appsene kun krypterer samtalernes og beskedernes indhold. Metadata om hvem, der kommunikerer med hvem og hvornår, er stadig synligt.
I bogen Cryptoguide for journalister får du en detaljeret gennemgang af Signal og flere værktøjer til kryptering og sikring af din smartphone.
2. På nettet med Tor
Når du går på nettet med en almindelig browser som Chrome, Safari eller Explorer, bliver data om hvilke hjemmesider du besøger, hvad du søger på, hvem du kommunikerer med og hvad kommunikationen indeholder overvåget og registreret. Det kan du beskytte dig mod ved at installere den anonyme browser Tor.
Når du surfer via Tor bliver al browserens internettrafik krypteret og ledt gennem en række Tor-servere rundt omkring i verden. Det gør, at den ikke kan spores tilbage til din computers ip-adresse. På nogle punkter er Tor lidt langsommere og mindre effektiv end andre browsere. Brug den for eksempel, hvis du skal researche på noget, hvor du ikke vil gøre opmærksom på dig selv, men sørg for, at du ikke kun bruger den, når du vil undgå snagen. Så kan det, at du ikke bruger din almindelige browser, i sig selv vække mistanke.
I bogen Cryptoguide for journalister får du en grundigere indføring i installation og brug af Tor og sikker færden på nettet.
3. Krypteret chat
Cryptocat er en krypteret tjeneste til online chat. Programmet fungerer som en applikation til din browser, hvor du kan chatte med andre, der også har Cryptocat. Programmet virker i browserne Firefox, Chrome og Safari og fås også som en app til iPhone. Når du har installeret appen, åbner du den via apps-sektionen i din browser og opretter en samtale, som du giver et navn. Det skal være et unikt navn, som er sværere at gætte end “test” eller lignende. Fortæl den eller de personer, du vil chatte med, hvad din samtale hedder (for eksempel via en sms), så kan de logge på via Cryptocat i deres browser.
Som det meste anden kryptering krypterer Cryptocat kun chattens indhold. Metadata om hvem, der kommunikerer med hvem og hvornår, er stadig synligt. Derfor opnår du den størst mulige sikkerhed, hvis du kombinerer Cryptocats kryptering med Tor’s anonymisering og installerer Cryptocat som applikation i din Tor-browser.
I bogen Cryptoguide for journalister får du en detaljeret gennemgang af både Cryptocat og andre værktøjer til krypteret chat via eksempelvis Facebook og Gmail.
4. Krypteret e-mail
Der er tre ting, som du skal installere på din computer for at kunne kryptere dine mails.
Mailklient: For at kunne kryptere dine mails, skal du sende og læse dem via en mailklient. Det kan være det mailprogram, der allerede er installeret på din computer, men vi anbefaler, at du skifter til det gratis mailprogram Thunderbird, der er open source og nemt at bruge.
GPG: Nu skal du bruge en gpg-nøgle. Det er den personlige kode, du bruger til at låse og åbne krypterede mails med. Husk at lave en lang kodesætning til din nøgle med både tal, tegn og bogstaver. En almindelig kode med få tegn er ikke godt nok.
Der er både en offentlig og en privat nøgle. Den offentlige nøgle er den, som andre skal kende, hvis de vil sende krypterede mails til dig. Hvis du vil sende krypterede mails til andre, kræver det også, at du kender deres offentlige nøgle. Stadig flere journalister skriver deres offentlige gpg-nøgle i deres mailsignatur eller på deres blog-profil på nettet. Det kan du også gøre. På den måde fortæller du fremtidige kilder, hvordan de kan sende krypterede mails til dig.
Den private nøgle er den, du bruger til at kryptere og dekryptere mails. Den skal opbevares på din computer og må aldrig deles med nogen.
Enigmail: Når du har installeret Thunderbird, skal du bruge den udvidelse, der gør, at programmet kan kryptere ved hjælp af din gpg-nøgle. Den hedder Enigmail. Når du har installeret de tre elementer, kommer der et lille ikon med en lås på de mails, du sender og modtager via Thunderbird. Så skal du simpelthen bare klikke på det, når du vil kryptere eller dekryptere en e-mail.
I bogen Cryptoguide for journalister får du en detaljeret gennemgang af installation og brug af mailkryptering, lærer hvordan du genererer og offentliggør din egen offentlige krypteringsnøgle og finder andres offentlige nøgler.
5. Tails
Denne bog giver værktøjer til hverdagskryptering, som du kan bruge med almindelige styresystemer som Mac OS eller Windows. Men det er vigtigt at huske, at begge disse systemer er closed source, som kan have indbyggede bagdøre, der giver efterretningstjenester adgang, og at både Microsoft og Apple er blandt de firmaer, som er blevet afsløret i at samarbejde med NSA.
Hvis du har brug for et højere sikkerhedsniveau, kan du derfor overveje at bruge et open source-styresystem i stedet. Det mest almindelige sikre open source-styresystem er det Linux-baserede Ubuntu, som du kan installere på en PC i stedet for Windows.
En endnu sikrere arbejdsmetode er at bruge styresystemet Tails, som også er Linux-baseret. Tails er et anonymt styresystem, som man typisk har på et eksternt drev, eksempelvis et USB-stik. Når du åbner computeren med Tails-stikket i, arbejder den automatisk fra dette styresystem, og du kan gemme filer og arbejdsdokumenter på stikket. Når du lukker computeren igen, slettes alle digitale spor af dit arbejde, som kun opbevares på stikket.
Endelig kan du overveje at anskaffe dig en ekstra computer, som aldrig har været på nettet, til opgaver, der kræver et højere sikkerhedsniveau.