it-säkerhet (kategori) - Sida 52 av 191 | IT-ord från Computer Sweden

E2Email

ett system för helvägskrypterad e‑post, skrivet i fri och öppen källkod. – Google har arbetat på E2Email sedan början av 2014, men beslöt i februari 2017 att låta det bli ett fristående projekt. Det har tolkats som att Google inte hade lyckats integrera E2Email i Gmail. Källkoden kan laddas ner från GitHub (länk). – Namnet anspelar på förkortningen E2EE för end-to-end encryption. – Läs mer på Googles blogg.

[kryptering] [ändrad 2 februari 2023]

encryption ⇢

– se kryptering.

[kryptering]

E2EE ⇢

– förkortning för end-to-end encryption, se totalsträckskryptering.

[förkortningar på E] [kryptering] [n2n-uttryck]

end-to-end encryption ⇢

(E2EE) – se totalsträckskryptering (även: helvägskryptering).

[kryptering]

totalsträckskryptering

(end-to-end encryption, E2EE, även: ändpunktskryptering, helvägskryptering) – kryptering där bara sändare och mottagare kan läsa meddelandena i klartext. – Totalsträckskryptering innebär att routrar, switchar eller annan nätverksutrustning som meddelandet passerar på väg mellan avsändare och mottagare vidarebefordrar meddelandet utan att dekryptera det. Ingen som har möjlighet att avläsa meddelanden på väg från sändare till mottagare (nätoperatörer, hackare, eventuellt polis eller säkerhetstjänst) antas ha tillgång till nyckeln, så de kan därför bara läsa den för dem obegripliga kryptotexten. – I kryptosystem som användarna själva installerar, som PGP, är totalsträckskryptering en självklarhet – nätoperatören förmedlar ju innehållet i befintligt skick utan att bry sig om ifall det är krypterat eller inte. System där krypterade meddelanden först sänds till en server, som dekrypterar dem och sedan skickar dem vidare, eventuellt efter att ha krypterat dem på nytt, är däremot inte totalsträckskryptering. Det kallas för delsträckskryptering. – Förutsättningen för att totalsträckskryptering ska vara möjlig är att kryptosystemets mjukvara och de nycklar som behövs finns hos sändare och mottagare. Det måste också finnas ett säkert sätt för parterna att utväxla nycklar utan att blanda in någon tredje part – se asymmetrisk kryptering.

[kryptering] [ändrad 30 januari 2023]

level of assurance ⇢

(LOA) – se tillitsnivå.

[identifiering]

tillitsnivå

(level of assurance, LOA) – i tillitsramverk: värdering av hur tillförlitlig en organisations hantering av identiteter är. Målet är att man ska kunna veta vilken person som faktiskt sitter vid datorn vid inloggning på ett konto, och att det är en betrodd person med aktuell behörighet. Tillförlitligheten hänger på flera faktorer:

– vet organisationen som delar ut ett konto vem som faktiskt ska ha kontot? Exempel: vem som helst kan skaffa ett Gmail-konto utan att Google får veta vem kontohavaren faktiskt är. En Gmailadress är alltså värdelös för identifiering;
– kontrollerar organisationen att det är rätt person som använder kontot? Är det risk för att den rätta användaren lånar ut kontot till andra, läcker sitt lösenord eller slarvar på andra sätt?
– hur skyddad är identitetshanteringen mot dataintrång och skadeprogram, och hur ser organisationen till att alla uppgifter är aktuella?
– räcker det med lösenord för autentisering eller används tvåfaktorsautentisering eller biometrisk autentisering?

– Den internationella standarden (ISO/IEC 29115, länk) har definierat fyra nivåer som används av den svenska ~~e‑legitimationsnämnden~~ (numera del av myndigheten DIGG). De fyra nivåerna är:

– ingen styrkt identitet. Personen styrker sig uppgivna identitet med till exempel ett e‑postkonto som hon själv har skaffat eller med sitt telefonnummer;
– identiteten styrks med användarnamn och lösenord, engångslösenord eller liknande;
– identiteten styrks med godkänd identitetshandling eller till exempel mobilt bank-id. Identitetshandlingen behöver inte ha lämnats ut vid personligt besök. Tvåfaktorsautentisering krävs;
– identiteten styrks med godkänd identitetshandling eller med e‑legitimation som har lämnats ut till användaren vid personligt besök. Tvåfaktorsautentisering krävs.

– Läs mer på DIGG:s webbsidor och på Skolfederations webbsidor.

[identifiering] [ändrad 28 augusti 2020]

UAC ⇢

– förkortning för user account control.

[förkortningar på U] [it-system] [it-säkerhet] [windows]

user account control

(UAC) – funktion i Windows med syftet att få användarna att inte vara inloggade som administratörer i onödan. – De ska kunna sköta huvuddelen av sina arbetsuppgifter som vanliga användare. (Detta är främst relevant för användare i organisationer.) – Problemet som behöver lösas uppstår därför att vanliga användare i Windows brukar kunna arbeta både som vanliga användare och som administratörer av sitt eget konto. För att göra vissa ändringar, till exempel installera program, måste de logga in som administratörer, men när de väl har gjort det brukar de inte logga ur som administratörer. Det innebär att administratörskontot är öppet, trots att det inte behövs, och det skapar en sårbarhet. Skadeprogram kan då laddas ner utan att användaren märker det, och de kan sedan spridas i nätverket. Om man å andra sidan hindrar användaren från att logga in som administratör över huvud taget blir det omöjligt för henne att göra många saker. – User account control minskar problemet genom att låta användaren göra en tillfällig inloggning när hon behöver göra något som administratör. När det är klart loggas hon automatiskt ut från sitt administratörskonto. Exakt hur det ska tillämpas kan ställas in av it‑systemets administratör. Man kan också välja att inte använda user account control alls. – User account control infördes 2006 i Windows med Windows Vista†, och ingår fortfarande i Windows i omarbetad form. – Läs mer på Microsofts webbsidor.

[it-system] [it-säkerhet] [windows] [ändrad 18 mars 2018]

hybrid encryption ⇢

– se hybridkryptering.

[kryptering]