Säker e-post (och varför du behöver det)

ANON::form > Blogg > E2EE (Slutpunkt-till-Slutpunkt Kryptering) > Säker e-post (och varför du behöver det)
Säker e-post (och varför du behöver det)

Även om en mängd nya sätt att kommunicera har lanserats de senaste åren är e-post fortfarande det mest förekommande sättet att kommunicera digitalt. I olika undersökningar världen över anger mer än 90% av de tillfrågade att man föredrar e-post som främsta kommunikationskanal, under COVID-19 pandemin har användningen tom ökat i omfattning.

Samtidigt kan man konstatera att säkerheten och anonymiteten i e-post fortfarande är direkt usel. Även om de stora aktörerna succesivt inför olika typer av ökad säkerhet så är den absoluta majoriteten skickad e-post i princip helt oskyddad.

Orsakerna till detta är dels en komplex och ofta dyr teknik bakom skyddet som många har svårt att ta till sig, dels handlar det krasst om pengar.

Företag och organisationer som har det största behovet och är de mest pådrivande står samtidigt för endast ca 25% av e-post kontona, vilket påverkar utvecklingen på både gott och ont. Den tekniska utvecklingen drivs framåt men till en, för framför allt mindre organisationer och privatpersoner, alltför för hög kostnad.

Något som ytterligare komplicerar det hela är de alltmer ökande myndighetskraven om att inte bara att skydda integritet och annat genom tex GDPR o dyl, utan också att myndigheterna skall få access till e-post ”vid behov”.

Ett helt säkert system använder End-To-End kryptering (E2EE, läs mer om detta här) där e-post meddelandet (inklusive bilagor) krypteras i den avsändande e-postklienten och dekrypteras i den mottagande e-postklienten. Meddelandet skall, även om det är krypterat, också transporteras och lagras på ett säkert sätt.

Nackdelen med denna lösning är att alla meddelanden alltid är krypterade i systemen och därför svåra att göra sökbara eller administrera på olika sätt. Det är i regel också omöjligt att dekryptera alla meddelanden om tex krypteringsnycklarna tappas bort.

Det blir därför allt vanligare att använda två parallella e-postsystem; ett med hög säkerhet men utan E2EE för den vanliga e-posten (@mindomain.com), och ett E2EE system på en subdomän (@secure.mindomain.com) för den grupp i organisationen som har behov av extra känslig kommunikation.

E-post sänds och sparas i klartext med säker transport och säkra servers
All vanlig e-post hanteras via mindomain.com
E2EE krypterad e-post, kryptering/dekryptering sker i e-postklienten
Känslig e-post och webformulär hanteras via secure.mindomain.com

I vissa lösningar, som tex ProtonMail som vi samarbetar med, används en lokalt i den egna datorn installerad proxy mellan ProtonMails e-postsystem och den lokala e-postklienten. Proxyn sköter kryptering och dekryptering och den vanliga e-postklienten, tex MS Outlook, kan alltså hantera även känslig e-post på samma sätt som övrig e-post utan knepiga extra åtgärder.

Kompletterande E2EE e-post med ProtonMail Bridge som proxy mot den vanliga e-postklienten
Kompletterande E2EE e-post med ProtonMail Bridge som proxy mot den vanliga e-postklienten

Detta upplägg är inte bara enkelt att använda och administrera, utan också förvånansvärt kostnadseffektivt.

Det går också alldeles utmärkt att kombinera E2EE e-post med säkra och anonymiserade webbformulär. Något som tex krävs i det nya sk ”visselblåsardirektivet” som berör alla företag med över 50 anställda eller kommuner med 10 000 eller fler innevånare. Meddelandet krypteras redan i webbformuläret i webbläsaren och sedan sänds via E2EE e-post systemet.

Alla företag och organisationer borde använda E2EE e-post och webbformulär som komplement för att lyckas uppfylla dagens krav på sekretess och även anonymitet. Det är varken svårt eller dyrt med de lösningar vi erbjuder.

Ta kontakt för mer information!