ZRTP

protokoll som gör att två internet­tele­foner kan komma överens om en kryp­terings­nyckel inför sam­talets början. – ZRTP an­vänder proto­kollet Diffie–Hell­man och för kommu­nika­tion Secure real-time transport protocol, SRTP. –ZRTP har ut­vecklats främst av Phil Zimmer­mann, därav Z i för­kort­ningen; RTP står för real–time protocol. – ZRTP har godkänts av internets tekniska lednings­grupp IETF som RFC 6180 (länk). Det har an­passats till alla vanliga datorer, operativ­system och smarta mobiler.

[förkortningar på Z] [kryptering] [mobilt] [ändrad 5 juni 2017]

kryptokrigen

(the crypto wars) –– amerikanska statens strävan att begränsa an­vänd­ningen av stark kryptering och olika organisationers motstånd mot det. ––Under 1990-talet var det öppen dragkamp mellan inte­gri­tets­före­språk­are och amerikanska staten, som hade infört restriktioner som bland annat jämställde export av krypto­system med vapen­export. (Reglerna här­stam­made från kalla kriget.) Det var då som Phil Zim­mer­­mann utvecklade PGP och därför under flera år över­vakades av FBI. (Han kring­gick förbudet mot export av krypto­system genom att faxa hela källkoden till PGP till Norge.) –Se också Clipper. –Ameri­kanska staten gav så småningom med sig och lättade på export­restrikt­ionerna för kryptering. Men krypto­krigen kan ändå anses pågå fort­farande. Nu är det USA:s signal­spanings­organisation NSA som i samarbete med, främst, brittiska GCHQ använder olika metoder för att avlyssna och dekryptera elektronisk kommu­nika­tion. Det sprids åter­kommande rykten om att NSA övertalar eller tvingar nät­tjänster att lägga in en så kallad bakdörr i krypteringen, alternativt att någon orga­nisa­tion begår data­intrång och installerar bak­dörrar utan nät­tjänsternas vetskap (se till exempel Dropout Jeep, Prism och Tao).

[kryptering]

Blackphone

nerlagd smart mobil med skydd för personlig integritet. Bland annat krypterade den meddelanden, och lämnade inte fler digitala spår än nödvändigt. Den kom i två versioner, Blackphone 1 och Blackphone 2. – Blackphone utvecklades av företaget SGP Technologies med bland andra Phil Zimmermann som deltagare. Operativsystemet heter Silent OS och är ett utförande av Android. – Blackphone fanns att köpa 2014–2017. Den har ersatts av modellen Silent Phone, se silentcircle.com. – Black­phone ska inte för­växlas med Boeings smarta mobil Black (troligen också nerlagd). – Läs också om CryptoPhone, GranitePhone, Solarin och Tiger.

[it-säkerhet] [mobiltelefoner] [nerlagt] [personlig integritet] [ändrad 7 juni 2017]

Silent circle

amerikanskt företag som till­­handa­­håller kryp­te­rade mobil­­samtal och sms. – – Fram till augusti 2013 erbjöd Silent circle också kryp­terad e‑post, Silent mail†, men la ner den tjänsten när det blev känt att NSA kunde utöva hårda på­tryck­­ningar för att få ut kundernas mejl. – Kunderna in­stallerar Silent circles pro­gram på sina smarta mobiler. Pro­­gram­met kryp­te­rar röst­­sam­tal och sms och slussar dem till Silent circles servrar. Om mot­ta­garen också är kund hos Silent circle skickas med­­de­lan­dena vidare för att de­kryp­teras hos mot­ta­garen. Om mot­ta­garen inte är kund hos Silent circle de­kryp­teras med­de­lan­dena av servern och skickas okryp­te­­rade till mot­ta­garen. – Silent circle grundades av Phil Zimmer­­mann och Mike Janke. Före­taget har varit med och ut­veck­lat ope­ra­tiv­­sys­temet Silent OS, och har till­­sam­mans med Geeks­­phone grundat före­­ta­get SGP Technologies, som har ut­veck­lat den smarta mobilen Black­­phone, samt deltar i ut­veck­lingen av e‑post­tjänsten Dark mail. – Se silent­circle.com. – Läs också om Lavabit† och Protonmail.

[kryptering] [personlig integritet]

Dark mail

projekt som utvecklar e‑post som ska vara omöjlig att avlyssna. Allt ska vara krypterat, även mottagar­adress och avsändar­adress. Det bygger på ett protokoll som heter scimp. – Pro­jektet inleddes 2013 som reaktion på av­slöjandena av hur NSA med flera avlyssnar och kart­lägger e‑post i hela världen. Klienter för alla vanliga datorsystem, smarta mobiler och surf­plattor ska utvecklas. – Bakom projektet står Dark mail technical alliance, alltså företagen Lavabit och Silent circle med medverkan av bland annat Phil Zim­mer­mann. – Se darkmail.info. – Läs också om Meshnet och Protonmail.

[kryptering] [personlig integritet]

Zimmermann, Phil

Phil Zimmermann.
Phil Zimmermann.

(1954) –– skaparen av kryptosystemet PGP. Det är det mest spridda krypto­systemet i världen. – Zim­mer­­mann, som är ut­bildad data­vetare, skrev PGP 1991 och släppte programmet som gratisprogram. Han publicerade käll­koden i en bok. Det inne­bar att krypto­systemet blev till­gängligt, även utanför USA. Ef­ter­som krypto­teknik räknades som krigsmateriel (munitions) in­leddes kort därefter i USA en för­under­sökning mot Zimmer­mann för brott mot lagen om vapen­­export. För­under­­­­sök­ningen på­gick i tre år, men den lades sedan ner. Zim­mer­mann kringgick bestäm­melserna om export av strategiskt material genom att faxa källkoden i den tryckta boken, sida för sida, till Norge. Han räknade med att myndigheterna skulle inse att de inte kunde straffa någon för export av en bok som fanns att köpa i bokhandeln. I Norge lästes sidorna in med optisk läsning så att källkoden kunde kompileras. –– Phil Zimmer­mann har fått många ut­märkelser, bland annat EFF:s pris Pioneer Award 1995. Hans webb­sida finns på philzimmermann.com. –– Phil Zimmer­mann är grundare av före­­taget Silent circle, och bland annat in­volverad i ut­veck­lingen av den smarta mobilen Black­­phone.

[kryptering] [personer] [phil zimmermann] [ändrad 5 juni 2017]

Web of trust

  1. – (WoT) –– tillitsringen –– ett decentraliserat system för intygande av att den som man sänder ett krypterat med­de­lande till verkligen är rätt person. –– Web of trust är ett alter­nativ till Public key infra­structure (PKI). –– Problemet som WoT har skapats för att lösa är en konsekvens av att modern kryptering (asymmetrisk kryp­te­ring) kräver att alla som vill ta emot krypterade med­de­lan­den först publicerar en öppen krypterings­nyckel – en publik nyckel. Men det är inte själv­klart att en sådan publi­ce­rad nyckel verk­ligen till­hör den som den påstås tillhöra. En be­dragare kan ju pub­li­cera en publik nyckel under någon annans namn för att komma åt och kunna läsa kon­fi­den­ti­ella meddelanden. För att försvåra detta låter man en eller flera andra per­soner eller organisationer signera (och därmed också låsa) den publika nyckeln med sina elektroniska signaturer. –– Typiskt för just tillits­ringen är att enskilda an­vändare signerar åt varandra. Var och en bestämmer själv hur många andra an­vändare som ska signera nyckeln. Man bestämmer också själv vilka krav man ställer på andra an­vändares nycklar, vilka signa­turer man litar på – och vilka man inte litar på. I den alter­na­tiva lös­ningen (PKI) an­vänder man i stället ett hierarkiskt system med certifikatutfärdare. –– En fördel med tillitsringen jämfört med PKI är att användarna inte blir be­ro­ende av ett hierarkiskt system: tillits­ringen är därför mindre känslig för störningar. – Tillitsringen ut­veck­lades av Phil Zimmermann för hans krypte­rings­system PGP. Det finns inte separat, utan ingår i PGP och liknande krypteringssystem. Prin­cipen har sedan över­förts till andra samman­hang;
  2. – WOT, Web of trust –– ett verktyg för gemensam bedömning av webb­sidor. – Man kan in­stal­lera WOT i sin webb­läsare och sedan i WOT sätta betyg på de webb­sidor man be­söker. Be­tygen från alla an­vändare samman­ställs, och när man besöker en webb­sida får man se det genom­snitt­liga be­tyget, om det finns något. Det visas som ett trafik­ljus, fast med fem färger. Betygen gäller tro­värdig­het och barn­säker­het. Med tro­värdig­het menas dels ifall informationen på webb­sidan är korrekt, dels ifall en sida som säljer varor eller tjänster går att lita på, eller ägnar sig åt bluff och be­drägeri. –– WOT drivs av före­taget WOT Services i Finland, och kan laddas ner från mywot.com.

[kryptering] [webben] [ändrad 22 november 2018]

PGP

  1. – Pretty good privacy – det mest spridda krypto­­systemet för privat och kommersi­ellt bruk. Numera mer spritt i versionen GPG, GNU privacy guard. – PGP ut­­veck­lades 1991 av ameri­kanen Phil Zimmer­­mann som ett sätt att ge privata dator­­använ­dare till­­gång till kryp­te­ring. –Efter­som Phil Zimmer­­mann spred kryp­terings­teknik till ut­­landet hotades han fram till 1996 av åtal i USA för vapen­smugg­ling. – PGP är i grunden en kombi­na­tion av kända tekniker för kryp­te­ring. Det är alltså inte någon ny kryp­te­ring­s­algo­ritm, utan ett kryptosystem: PGP använder algo­ritmer som redan är kända. (En ut­­förlig teknisk be­­skriv­ning finns i Wikipedia.) – PGP an­­vänder kryp­te­ring med öppen nyckel (asym­metrisk kryp­te­ring), men bara för att ut­­växla engångsnycklar mellan sändare och mot­­tagare. De nycklarna an­vänds sedan för symmetrisk kryp­te­ring av själva med­­de­landet. – PGP anses som mycket säkert, och närmast omöjligt att forcera. (Men en sårbarhet i vissa utföranden PGP blev känd i maj 2017, se denna artikel och efail.) – Särskiljande för PGP är bland annat att det inte an­­vänder en Public key infra­­structure (PKI) för att in­tyga att publika kryp­te­rings­­nycklar till­hör den person som de påstås tillhöra. I stället används något som kallas för Web of trust (WoT). – Problemet med den ursprung­liga tanken att ge privatpersoner till­gång till lätt­­hanter­lig kryptering är att det inte räcker med att man skaffar PGP själv: den som tar emot det krypterade meddelandet måste också ha PGP. Därför har PGP inte fått särskilt stor spridning bland privatpersoner, där­emot bland organisationer. – PGP är under namnet OpenPGP en öppen standard, fastställd av IETF, och får användas av alla, se här. – Vid sidan av det PGP som säljs av PGP Corporation (se nedan) finns det olika utföranden av OpenPGP. GNU Privacy Guard är sedan länge mer spritt än PGP i originalutförande. – Läs mer om PGP i IIS skrift Kom igång med PGP! (länk). – Namnet: Pretty good privacy anspelar på den fiktiva lanthandeln ””Ralph’s pretty good grocery store”” i det sedan 2017 nerlagda ameri­kanska radioprogrammet A prairie home companion;
  2. PGP Corporation – företag som 2002——2010 ut­­veck­lade och marknadsförde PGP som kommersi­ell produkt. Köptes 2010 av Symantec som integrerade PGP Corpo­ration i företaget. – Se Symantecs webbsidor. – Network Associates var ägare till PGP Corpo­ration 1997——2002.

[företag] [förkortningar på P] [kryptering] [ändrad 22 november 2018]