Dersom man ønsker å benytte seg av innlogging over SSH uten passord er det viktig å husket at dersom noen får tak i din private nøkkel vil man også andre kunne logge seg inn som deg.

For å komme i gang må man lage nøklene som er nødvendig, og da åpner man en terminal og skriver følgende kommando:

ssh-keygen -t rsa

Det vil komme opp noe tilsvarende dette, og man trenger ikke lenge inn nye verdier med mindre man ønsker å ha passord på nøklene:

Enter file in which to save the key (/home/brukernavn/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/brukernavn/.ssh/id_rsa.
Your public key has been saved in /home/brukernavn/.ssh/id_rsa.pub.

I hjemmemappen er det nå laget to nye filer:

• .ssh/id_rsa – Den hemmelige nøkkelen som ikke må gies til noen andre
• .ssh/id_rsa.pub – Den offentlige nøkkelen som sendes til den andre databaskinen

Nå som nøklene er opprettet er det tid for å kopiere over den offentlige nøkkel til maskinen man ønsker å koble seg til. Skriv inn passordet ditt når du får spørsmål om dette.

ssh-copy-id -i ~/.ssh/id_rsa.pub brukernavn@ssh.domene.net

Nøkkelen din er nå lagt inn i filen .ssh/authorized_keys på den eksterne maskinen. Nå kan du logge deg på uten passord, bare prøv:

ssh brukernavn@ssh.domene.net

Dersom det ikke fungerer, så kan det være at muligheten for innlogging uten passord er slått av den eksterne maskinen.

Husk å ikke strø rundt deg med private nøkler!

NRK kunne i dag slå opp at Sverige fra og med 1. januar 2009 kan følge med på hva nordmenn gjør på Internett når nettverkstrafikken går innom Sverige. Dette har vært oppe også tidligere i år, men det ser ut til å utebli løsninger som kan være med på å løse dette nye problemet.

Gisle Hannemyr kunne fortelle på Dagsrevyen at krimminelle allerede benytter kryptering, men sannheten er at mange andre gjør det også, og det er egentlig så enkelt at også vanlige brukere burde klare å sende sikker epost. PGP har eksistert siden 1991, og går rett og slett ut på at man genererer en privat og en offentlig nøkkel til seg selv. PGP kan brukes til to ting; signere eposten for å sikre at den kommer fra deg, eller å kryptere innholdet i eposten (ikke emne) slik at kun mottaker kan åpne det. Det er da viktig å dele sin offentlige nøkkel med verden slik at andre kan se at det er du som har sendt eposten, eller for at de skal kunne sende krypterte epost til deg.

Når man skal signere at en epost kommer fra deg kan du bruke din private nøkkel til å lage en signatur for eposten, og når eposten blir åpnet kan man se at den faktisk stammer fra deg ved å kontrollere signaturen som ble generert mot din offentlige nøkkel.

Dersom du ønsker å sende kryptert epost til meg, altså at kun jeg kan åpne den, må du få tak i min offentlige nøkkel, og denne kan da brukes til å kryptere epostens innhold, og når jeg mottar den må jeg bruke min private (og meget hemmelige) nøkkel for å kunne se innholdet.

Dette høres kanskje ut som mye arbeid, men det er det absolutt ikke. For de som bruker Thunderbird kan man bruke Enigmail, et tillegg som tar deg igjennom prosessen med å lage nøkler, dele nøkler og fikse alt av signering, kryptering og dekryptering for deg. For å komme i gang er det laget en liten manual, og det tar ikke mange minuttene. (De som bruker Ubuntu skriver bare “sudo aptitude install enigmail enigmail-locale-nb” i terminalen og restarter Thunderbird.)

Noen andre som skal begynne å signere sine eposter? Til tross for dystre utsagn i media i dag er det ingen grunn til å avskrive demokrati og ytringsfrihet, det er bare snakk om å være litt mer våken.

Det finnes også noen flere tiltak enn å kryptere epost:

Sikker i vevleseren: Vi har i lenger tid brukt sikker tilkobling når vi kobler oss opp mot nettbanken vår, og det er vel ingen som tør å oppgi kredittkortopplysninger uten å se etter den kjente hengelåsen i vevleseren vår. Det er også mange andre sider med innlogging som tilbyr dette, men selv om for eksempel Google ikke gir sikker tilkobling når du bruker GMail, så er det kun snakk om å endre “http://mail.google.com/mail/” til “https://mail.google.com/mail/”. Flere av Google sine tjenester tilbyr dette. Merk at på langt nær alle vevsider tilbyr dette…

Sikker på MSN: De som sitter på MSN kan benytte Simp Lite til å kryptere samtaler med andre som har installert programmet.

Tanken bak fingeravtrykkene er at det er lettere å gjenkjenne noe grafisk fremfor en lang streng som i utgangspunktet sier en ganske lite. Kanskje det redder deg fra å logge på feil boks en gang?

For å slå denne funksjonaliteten kan man enten opprette filen ~/.ssh/config (kun for gitt bruker) eller åpne /etc/ssh/ssh_config (for alle brukere) og legge til følgende linje:

VisualHostKey yes

Som Dagur har bemerket i kommentar vil det være mer korrekt å kalle det “vevleser” i stedet for “webleser”. Ordet “vevleser” gir ikke så mange treff, men det er tydelig at det kan brukes.

Forskjellen på ordene “nettleser” og “vevwebleser” er kanskje noe vanskelig. I den norske ordboka finner man at nettleser er det samme som “dataprogram som man tar seg frem på internett med”, problemet er bare at man benytter nettlesere til å ta seg frem på World Wide Web som er et hypertekstsystem som er en tjeneste som er tilgjengelig gjennom datanettverket vi kaller Internett.

Således vil jeg påstå at den norske nettleseren Opera er det nærmeste vi kommer en nettleser siden den har en vevwebleser, epostleser og torrentklient, mens Firefox og Internet Explorer da blir vevweblesere siden de ikke er konstruert for annet enn å surfe på World Wide Web.

Noen flere som er interessert i å bytte?