Aftonbladets mailkryptering på vift

Aftonbladet har publicerat en så kallad pgp-nyckel online avslöjar en användare på Twitter. Det är krypteringen mellan Aftonblandet och Schibstedt som lagts upp. Informationen som finns tillgängligt skulle, tillsammans med ett lösenord, kunna innebära någon annan kan kommunicera i Aftonbladets namn.

PGP står för ”Pretty Good Privacy” och är en fri mjukvara som installeras på datorn, skapad av Phil Zimmerman, för kryptering av bl.a. epost. Det är ett enkelt sätt att lägga upp svåra hinder för den som skulle tänka sig vilja läsa dina mail. I praktiken innebär PGP att två parter byter nycklar med varandra för att kunna kommunicera privat. Aftonbladet har t.ex. i sin IT-skola rekommenderat att folk börjar använda sig av den här tekniken i högre omfattning.

Men förutom att det krypterar texten för att undvika att utomstående kan läsa den, är det även ett sätt att garantera att man är den man är i kommunikationen, en slags e-legitimation.

– Om man har deras privata nyckel och passphrase så kan man skicka meddelanden som är signerade av tidningen, och det skulle vara rätt krångligt för dem att bevisa att det inte kom från dem, säger Lars Holmqvist, tekniker på webhackande.se.

Det kan kanske tyckas vara illa nog att någon med hjälp av nycklarna får tillgång till informationen mailen kan innehålla, men det betyder alltså även att kommunikationsbanan kan exploateras.

– Jag skulle säga att det motsvarar att de lagt ut en bild av det egna kreditkortet, men utan pin-kod eller säkerhetskod-på-baksidan. Ungefär som Alex Schulman gjorde för några år sedan. Skillnaden är att om man sprider sitt kreditkortsnummer på nätet blir man av med några tusenlappar, men i det här fallet kan någon anonym hackare till exempel skriva desinformation som ser helt äkta ut, säger Lars Holmqvist.

Vid en import av nyckeln till en lokal pgp-installation visar sig nyckeln Aftonbladet lagt upp vara en 2048-bitars privat nyckel med en epostadress till Schibstedt. Ett lösenord krävs emellertid för att kunna använda det — och för att hitta det krävs så kallad ”brute force”. Dvs, det går inte av misstag att hitta lösenordet men går att bryta sig in med rätt verktyg och kunnande.

– Aftonbladet borde byta nyckel BUMS och hålla i den nya bättre, avslutar Lars Holmqvist.

Uppdatering: Vid 17-snåret togs sidan ner som innehöll den hemliga nyckeln.