POSTGIROBYGGET 15. ETASJE (digi.no): Digipost er allerede klargjort for ekte ende-til-ende kryptering, der brukeren kontrollerer sin private nøkkel.
Brukeren må da forsyne tjenesteleverandør med en offentlig nøkkel eller sertifikat. Uten begge nøklene er det umulig å låse opp innholdet.
Martin Koksrud Bekkelund, som er direktør produkt- og forretningsutvikling i Posten, sier at de nå utreder om dette lar seg realisere på en fornuftig måte.
– Vi vet at dette er for spesielt interesserte, men det er prinsipielt riktig og viktig for oss å tilby dette.
Han utdyper hvorfor det prinsipielle veier tungt:
Ambisjonen er å gi ut dette i første kvartal – Posten har siden 1600-tallet vært budbringer til folket. Selv om vi jobber digitalt merker vi godt at integritet og konfidensialitet står sterkt i hele organisasjonen.
Bekkelund vil ikke garantere noe, men røper at de på ledernivå har besluttet at reell ende-til-ende-kryptering er noe de ønsker å jobbe videre med.
– Forbeholdet vårt er at vi må være sikre på at det er fornuft i det vi kommer med, men ambisjonen er å gi ut dette i første kvartal 2015, men det er ikke noe løfte.
I dag sitter Digipost med begge nøklene. Det gjør også BankID og de fleste andre leverandører av sikre tjenester på internett.
Alternativet Posten jobber med vil i praksis gjøre det umulig selv for myndighetene ved rettsordre å kunne gå inn å lese meldingene.
Internt er prosjektet kalt «ZKP» eller Zero Knowledge Proof. Et teknologisk bevis på at leverandøren ikke har sjans til å titte på brukernes korrespondanse.
– Du lager ikke et sånt system bare for godværsdager, sier Posten-direktøren.
Høy brukerterskel
Erlend Oftedal er sikkerhetsansvarlig for Digipost og én av femten innleide konsulenter fra Bekk, som utgjør den samlede utvikleravdelingen for løsningen.
– Det er ulike problemstillinger med ende-til-ende-kryptering. Det er for eksempel problematisk straks brukeren mister nøklene sine. Hvis den forsvinner har du mistet tilgangen til posten din. Da må du eventuelt kontakte avsender og be dem sende på nytt.
– Brukerterskelen for kryptert e-post er høy. Vi skal jo være en løsning for ungdom, de i midten og de eldste, understreker Oftedal.
Valgfritt
Derfor er ambisjonen å kunne tilby ende-til-ende-kryptering som valgfri ordning.
– Du kan velge mellom å stole på Posten, eller du kan si at du setter konfidensialitet høyere. For meg er det viktig at ingen beviselig skal kunne ha innsyn i min post. Brukerne kan velge, det er fint med en todelt løsning, sier Oftedal, som også er faggruppeleder for sikkerhet i konsulentselskapet Bekk.
– Hva slags sikkehetsnivå snakker vi om her?
– Rent teknisk snakker vi sannsynligvis om AES 256 for krypteringen. Så vil vi nok kreve at brukernes nøkler har en god lengde. Fra 2048 biter og oppover. Her følger vi med på anbefalingene fra amerikanske og europeiske standardorganer innen sikkerhet, sier Oftedal.
API-ene (programmeringsgrensesnittene) for Digipost er laget med støtte for full ende-til-ende-kryptering. En ting som mangler er et brukergrensesnitt for opplasting av offentlig nøkkel, uten at det er den helt store jobben.
Alt dette tegner til å kunne bli mer enn bare en digital postkasse. For Digipost kan også bli brukt til å sende krypterte meldinger, selv om det ikke var hovedpoenget fra starten av.
Postboks for alle – en vei å gå
Den 17. november gikk startskuddet for statens løsning «sikker digital postkasse». Alle innbyggere som har opprettet brukerkonto hos Digipost kan nå motta post i sin egen digitale postkasse, inkludert forsendelser med sensitivt innhold som helseopplysninger fra det offentlige.
Den konkurrerende danske leverandøren E-boks, som også har vunnet kontrakt på det samme, er forsinket og blir først klar på nyåret.
Posten Norge har dermed sikret seg et fortrinn i konkurransen, men har likevel et godt stykke igjen for å nå sine egne ambisjoner for antall brukere i Digipost. Bekkelund minner om at Norge har fem millioner innbyggere.
– Vi har cirka 400.000 brukere per i dag. Ambisjonen er nå ut til flere millioner, sier han.
Les også:
- [27.01.2015] Bruker barn til å markedsføre Digipost
- [18.11.2014] Nå åpner digitalposten
- [07.03.2014] To får levere digital postkasse