Aftonbladets mailkryptering på vift

Aftonbladet har publicerat en så kallad pgp-nyckel online avslöjar en användare på Twitter. Det är krypteringen mellan Aftonblandet och Schibstedt som lagts upp. Informationen som finns tillgängligt skulle, tillsammans med ett lösenord, kunna innebära någon annan kan kommunicera i Aftonbladets namn.
PGP står för ”Pretty Good Privacy” och är en fri mjukvara som installeras på datorn, skapad av Phil Zimmerman, för kryptering av bl.a. epost. Det är ett enkelt sätt att lägga upp svåra hinder för den som skulle tänka sig vilja läsa dina mail. I praktiken innebär PGP att två parter byter nycklar med varandra för att kunna kommunicera privat. Aftonbladet har t.ex. i sin IT-skola rekommenderat att folk börjar använda sig av den här tekniken i högre omfattning.
Men förutom att det krypterar texten för att undvika att utomstående kan läsa den, är det även ett sätt att garantera att man är den man är i kommunikationen, en slags e-legitimation.
– Om man har deras privata nyckel och passphrase så kan man skicka meddelanden som är signerade av tidningen, och det skulle vara rätt krångligt för dem att bevisa att det inte kom från dem, säger Lars Holmqvist, tekniker på webhackande.se.
Det kan kanske tyckas vara illa nog att någon med hjälp av nycklarna får tillgång till informationen mailen kan innehålla, men det betyder alltså även att kommunikationsbanan kan exploateras.
– Jag skulle säga att det motsvarar att de lagt ut en bild av det egna kreditkortet, men utan pin-kod eller säkerhetskod-på-baksidan. Ungefär som Alex Schulman gjorde för några år sedan. Skillnaden är att om man sprider sitt kreditkortsnummer på nätet blir man av med några tusenlappar, men i det här fallet kan någon anonym hackare till exempel skriva desinformation som ser helt äkta ut, säger Lars Holmqvist.
Vid en import av nyckeln till en lokal pgp-installation visar sig nyckeln Aftonbladet lagt upp vara en 2048-bitars privat nyckel med en epostadress till Schibstedt. Ett lösenord krävs emellertid för att kunna använda det — och för att hitta det krävs så kallad ”brute force”. Dvs, det går inte av misstag att hitta lösenordet men går att bryta sig in med rätt verktyg och kunnande.
– Aftonbladet borde byta nyckel BUMS och hålla i den nya bättre, avslutar Lars Holmqvist.
Uppdatering: Vid 17-snåret togs sidan ner som innehöll den hemliga nyckeln.

Lämna ett svar

Din e-postadress kommer inte publiceras.

13 kommentarerFlest rösterSenasteÄldst

  1. Lukas Hansson says:

    Hej Emma
    Att Aftonbladet publicerar sin PGP nyckel är väl inte så konstigt, du som ”Djupt engagerad i frågeställningar kring internet” borde väl veta hur man komunicerar krypterat med PGP. Eller hur brukar du göra annars undrar jag? Vad menar du med att det är krypteringen mellan Aftonbladet och Schibstedt som lagts upp. Menar du att det är den krypterade trafiken mellan Aftonbladet och Schibstedt som man också kan komma åt. Om trafiken är krypterad är det väl ingen fara, eller hur? I ett mailsystem har ju alla användare privata nycklar och här är det tydligen EN nyckel som blivit offentlig. Det skulle förvåna mig om alla användare på Aftonbladet använder samma nyckel. Att man genom att kryptera med denna nyckel kan utge sig för att vara ”Aftonbladet” som webhackaren Lars Holmqvist vill påskina ser jag som högst hypotetiskt. Jag tycker att du och Lars om möjligt skall engagera er ännu djupare i dessa ämnen innan ni offentliggör era ”nyheter” i fortsättningen.
    /Lukas

    • Jag är nog inte med på vad du menar med att ”det inte är så konstigt”? Alla guider om PGP säger samma sak: lägg inte ut din hemliga nyckel. Poängen är ju lite att kryptering knappast låser in när den är öppen? På samma sätt skulle jag kunna säga att jag lösenordsskyddat en pdf-fil, och den är helt säker även om jag lägger upp lösenordet så att andra kommer åt den. Och javisst, det skulle förvåna mig också om ”alla på aftonbladet använder samma nyckel” – men i det här fallet kan ju vem som helst använda sig av den nyckeln, då den ligger öppet. Så, jag är ledsen att behöva be om en förklaring om vad du menar här, kanske något föll bort ur din kommentar?

  2. Lukas Hansson says:

    PGP bygger ju på att man har en publik nyckel och en hemlig. Det är 1A i PGP skolan. Att du inte har en aning om dessa basala kunskaper är ju helt uppanbart dels i din så kallade artikel där du skriver att Aftonbladet har publicerat en PGP nyckel, inte att det är en HEMLIG PGP nyckel som är publicerad (stor skillnad). Dels i ditt senaste svar där du tar exemplet med pdf filen och lösenord.
    Sedan undrar jag fortfarande vad du menar med ”krypteringen mellan Aftonblandet och Schibstedt som lagts upp”
    Jag ger dig nu chansen att visa dig på styvalinan.
    Kan du inom 2 min snabbt beskriva (utan att ringa Lars) hur du skulle gå tillväga om du vill skicka ett krypterat meddelande till t.ex Aftonbladet eller någon annan tidning

    • Vet inte riktigt varför inte en nybörjare skulle kunna skriva eller prata om detta. Principiellt kan det väl till och med vara viktigt för allmänbildningen i dessa tider att veta hur sånt här fungerar? Men utan att ha ”ringt Lars” undrar jag om du möjligen missade att den hemliga delen av krypteringsnyckeln ligger uppe?

      • Lukas Hansson says:

        Jo det va ju det jag menade att du skulle ha skrivit från början (att den hemliga nyckeln va ute) om du som ”djupt engagerad i frågeställningar kring internet” begrep dig på detta med kryptering. Nu är du plötsligt ”nybörjare” och då undrar jag varför du i någon slags nyhetsform/avslöjande skriver om saker du själv medger att du inte riktigt begriper.

        • Jag är glad att se att den nu, några minuter senare, är borttagen från Aftonbladet.

          • Lukas Hansson says:

            Vilken av nycklarna har dom tagit bort.
            Den privata eller publika?
            Och vilken nyckel skulle du behöva om du skulle skicka ett krypterat meddelande till aftonbladet?
            Den privata eller publika?

          • För nytillkomna läsare: Hela sidan togs bort. 😉

          • Lukas Hansson says:

            Har varit bortagen sedan i förmiddags verkar det som

          • Nej, tyvärr, tajmingen för nedtagningen verkade bli precis efter det att jag påpekade att den hemliga nyckeln fortfarande var uppe för dig. Lattjo hur sånt där kan hända ibland.

          • Lukas Hansson says:

            Jag vet inte om jag skall skratta eller gråta, men till nytilkoman läsare kan jag väl informera att jag nog trotts allt överskattade Emma lite från början
            Tack för mig

          • Linnea says:

            Men jisses, Lukas. Har du någon slags personlig hangup på Emma eller?

  3. Må vara att de försökt ta till sig det här med sociala medier lite extra på sistone, men det finns någonting sådant som att ta saker till smått överdrivna nivåer. ^^