Slik sender du kryptert e-post

Viktig informasjon blir sendt over e-post hver eneste dag. I utgangspunktet forventer vi at kun sender og mottaker av e-posten kjenner til innholdet, men i praksis er ikke dette tilfellet, da e-poster ofte sendes ukryptert eller blir skannet og analysert av e-postleverandørene. Det er på tide å bytte over til kryptert e-post.

Tilgjengelighet fremfor sikkerhet

E-post er i utgangspunktet hverken sikkert eller privat. Protokollene for å sende beskjeder over Internett ble laget på en tid hvor det viktigste var å sørge for at informasjonen kom frem, ikke for å beholde konfidensialitet. Det skal sies at de fleste e-postleverandører i dag benytter seg av det vi kaller “transportlag-sikkerhet”, altså at e-posten blir kryptert hos sender sin e-postleverandør og dekryptert hos mottaker sin e-postleverandør, før e-posten blir tilgjengelig for mottaker. Google Transparency report viser til at ca. 90 % av e-poster til og fra Gmail-brukere er kryptert i dag.

Dette er derimot ikke godt nok i seg selv. For det første så betyr dette at ca. 10% av alle e-poster (sannsynligvis er dette tallet høyere for ikke-Gmail-brukere) kan leses fritt av hvem som helst mens de sendes over Internett. Viktigere enn dette er at e-postleverandørene kan lese alle innkommende og utgående e-poster, og i mange tilfeller benytter de seg av muligheten til å lese og analysere innholdet i e-postene. Dette gjøres av ulike grunner, ofte begrunnet med at dette skal gjøre tjenestene bedre for brukerne.

De som bruker Gmail har sikkert lagt merke til at man mottar kalenderinvitasjoner direkte i kalenderen, får påminnelser om datoer og tidspunkt nevnt i e-poster, eller forslag til alternative svar på e-poster. Det ble nylig offentliggjort at Google har lagret alle kvitteringer du har mottatt på e-post de siste seks årene, for å analysere dine kjøpemønstre på nett. I flere år benyttet Google muligheten til å skanne alle e-poster for å kunne gi brukerne sine målrettet reklame, men dette sluttet de å gjøre i 2017.

Sikker og privat e-post

Vi mener at e-post burde være både privat og sikkert. Med dette mener vi at bare sender og mottaker skal kjenne til innholdet i e-posten, og ingen andre. Heller ikke e-postleverandørene. Mer spesifikt så mener vi at e-post bør benytte ende-til-ende-kryptering. Dette vil føre til at innholdet i dine e-poster ikke kan benyttes til målrettet reklame, ikke kan lagres og analyseres av algoritmer, og ikke kan leses av andre. I tillegg betyr dette at uvedkommende ikke kan få tilgang til dine e-poster dersom din e-postleverandør skulle bli hacket eller dersom noen som jobber der ønsker å lese dine e-poster. Dette er ikke tilfellet for de fleste e-postleverandører i dag.

Våre anbefalinger

Vi vil anbefale alle å benytte seg av en kryptert e-posttjeneste. Dette er eneste måte vi kan sørge for at ikke alle våre e-post blir lest og analysert av andre. Det finnes heldigvis noen gode alternativer til Gmail, Outlook, Yahoo osv., og vi har tre konkrete anbefalinger som vi vil oppfordre dere til å sjekke ut.

Vi anbefaler Protonmail. Tutanota og Fastmail. De to førstnevnte tilbyr gratisversjoner, og samtlige tilbyr betalingsversjoner med mange funksjonaliteter. De tjener alle sine inntekter på å tilby sikre e-posttjenester, og hverken kan eller vil lese dine e-poster. All koden er offentlig tilgjengelig, slik at sikkerhetseksperter har kunnet analysere koden og verifisere at tjenestene opprettholder sine løfter til brukerne.