Jeg har i mange år brugt at underskrive mine e-mails med GNU Privacy Guard (GPG) / OpenPGP (OPGP). For noget tid siden skiftede jeg så min computer ud og i den forbindelse sendte jeg nogle e-mails inden jeg havde fået sat GPG op. Den handling viste sig at medføre uforudsete ulemper for modtagerne selv om de faktisk ikke selv bruger systemet.
For at forstå hvad der skete skal man vide at når folk ikke bruger GPG/OPGP, så indeholder e-mails den elektroniske underskrift som tekst omkring e-mailens indhold.
Det ser f.eks. sådan her ud:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hav en god dag
- --
Med venlig hilsen
Kurt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/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=osJZ
-----END PGP SIGNATURE-----
Det er jo ret tydeligt at denne e-mail er underskrevet, så da folk, som nu i årevis var blevet fortrolig med at alle mine e-mails havde denne opbygning, oplevede at få e-mails fra mig uden denne signatur var der en del som blev bekymret for om de e-mails faktisk var fra mig.
En var faktisk så overbevist om at en e-mail uden signatur fra mig måtte være spam/phishing så han undlod at følge et link som jeg havde sendt med i en af e-mailene. Det kom frem for et par dage siden, da vi mødtes og han efterlyste nogle oplysninger som jeg havde lovet at sende til ham. Jeg var noget overrasket, da jeg havde sendt dem via et link et par dage efter vi talte om det og det var så under den videre samtale at det gik op for mig at det var i en af de e-mails jeg sendte uden elektronisk underskrift.
Ud over at vi fik et godt grin over hændelsen så viser det jo at elektronisk signatur faktisk kan gøre gavn også selv om folk ikke kan verificere den. Jeg finder det glædeligt at folk faktisk tænker over om e-mail sendt som om de kommer fra mig faktisk bliver undersøgt af modtagerne for om det faktisk kan være rigtigt. Det var helt rigtigt af ham at undlade at følge det omtalte link, for den email var faktisk mistænkelig og det var min fejl at jeg ikke fulgte min egen regel om altid at underskrive mine e-mails.
Det er helt sikkert at jeg i fremtiden meget vil overveje hvordan jeg sender e-mails. Næste gang jeg skifter system sender jeg i hvert fald ikke e-mails før min e-mail system er helt oppe og køre med digital signatur og det hele. 🙂