Venneapplikationer - Sikkerhed

Efter 1.oktober 2011 er det nødvendigt, at ens app ligger på en https:// side og ikke kun på en http:// side, for at det kan blive en officiel app. https: betyder at forbindelsen er krypteret med SSL/TLS //(SSL og TLS er krypterings metoder). Det er nødvendigt med kryptering, da en person er i stand til at opsnappe brugeroplysninger mellem Facebook og ens app. Dette kaldes ”man in the middle”. Når data bliver krypteret, bliver denne data ulæselig for de personer, der ikke kan dekryptere denne data.

middleman.jpg

Facebook og personlige data

Diskuter i klassen, hvilke oplysninger der kan sendes mellem Facebook og ens app, samt argumenter for hvordan de enkelte oplysninger kan misbruges.
Medtag gerne dele fra Persondataloven, f.eks.

  • § 12. Dataansvarlige, der med henblik på markedsføring sælger fortegnelser over grupper af personer, eller som for tredjemand foretager adressering eller udsendelse af meddelelser til sådanne grupper, må kun behandle… (læse mere)
  • § 27, § 27. Der må kun overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau, jf. dog stk. 3. (læs mere)
  • § 35. Den registrerede kan til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling. (læs mere)

Diskuter gerne hvordan Facebook skaber problemer for persondataloven, når Facebook ligger udenfor Danmark.

+ Kryptering
Kryptering kommer fra kryptologi, som betyder: ”læren om hemmeligholdelse af information”. Kryptering går ud på at kunne gøre sin besked ulæselig ved hjælp af en krypteringsnøgle, sende den til en anden person, som så kan gøre beskeden læselig igen ved hjælp af en krypteringsnøgle.

Her er Person A, Person B og Man in the middle:
k1.jpg
Hvis Person A sender en ikke krypteret besked til Person B, så vil Man in the middle være i stand til at læse denne besked.
k2.jpg
Hvis Person A anvender en symmetrisk krypteringsnøgle (en symmetrisk krypteringsnøgle er den samme krypteringsnøgle, som bruges til at kode og afkode en besked), så vil Man in the middle og Person B ikke være i stand til at læse beskeden, da de ikke har den symmetriske krypteringsnøgle.
k3.jpg
Hvis Person A og Person B kun har kontakt over internettet, så er Person A nødt til at sende den symmetriske krypteringsnøgler til Person B over internettet, desværre så er Man in the middle i stand til få fat i denne krypteringsnøgle.
k4.jpg
Dermed vil Person A kunne kode sin besked, som Person B og Man in the middle vil kunne afkode.
k6.jpg
For at undgå dette er det nødvendigt at bruge 2 asymmetriske krypteringsnøgler (dvs. en offentlig krypteringsnøgle til at kryptere sin besked og en privat krypteringsnøgle til at afkode sin besked.) Hvis Person B gerne vil modtage en krypteret besked, så har Person B en offentlig krypteringsnøgle og en privat krypteringsnøgle . Person B stiller den offentlige krypteringsnøgle til råddighed på internettet, så Person A og Man in the middle kan få fat i den.
k7.jpg
Dermed kan Person A bruge den offentlige krypteringsnøgle til at kryptere sin besked og sende den. Person B er den eneste der har den private krypteringsnøgle (da den ikke er blevet sendt nogen steder) og dermed er Man in the middle ikke i stand til at afkode beskeden.
k8.jpg
asymmetriske krypteringsnøgler kræver mere computerkraft end symmetriske krypteringsnøgler og dermed er det mere økonomisk at anvende de symmetriske krypteringsnøgler. Dermed kan Person A kryptere sin symmetriske krypteringsnøgler med den offentlige krypteringsnøgle og sende den, som en besked. Person B kan afkode beskeden og dermed modtage den symmetriske krypteringsnøgle, hvor Man in the middle må nøjes med den krypterede besked.
k9.jpg
Herfra kan Person A og Person B anvende den symmetriske krypteringsnøgler til at sende beskeder i mellem hinanden, uden at Man in the middle er i stand til at være med. Det er sådan SSL og TLS virker via. https://
ka.jpg

Dvs. at der findes 3 krypteringsfamilier (indtil videre):

  • Kryptering med symmetriske krypteringsnøgler. Eks. Cæsar kryptering (brugt af Cæsar i Rom) ( link)
  • Kryptering med asymmetriske krypteringsnøgler, Eks. RSA (link)
  • Kryptering som anvender symmetriske og asymmetriske krypteringsnøgler, som i vist i tegneserien ovenfor. Eks. SSL og TLS (link)

Så næste gang du logger på Facebook, så husk at logge på https://facebook.com, ellers kan andre få fat i dit password.

Medmindre andet er angivet, er indholdet af denne side licenseret under Creative Commons Attribution-NonCommercial 3.0 License