Sårbarhed fundet i e-mail-krypteringsteknik

14 maj 2018

Forskere har fundet en sårbarhed i de mest almindelige teknikker til email-kryptering: PGP og S/MIME. Denne meddelelse blev offentliggjort under navnet EFAIL. Du kan fortsætte med at bruge S/MIME til krypteret email, men det anbefales at justere en række indstillinger i din e-mail software og opdatere så hurtigt som muligt.

Hvad betyder sårbarheden?

Den offentliggjorte information viser, at det krypterede indhold af den pågældende meddelelse er synlig i almindelig tekst ved at opsnappe en krypteret e-mail meddelelse og derefter sende en HTML-e-mail til modtageren, hvori denne krypterede meddelelse er inkluderet.

Hvad er e-mail kryptering?

Digital signering og kryptering af e-mail forhindrer tredjepart i at opfange, læse og ændre e-mail. For modtageren garanterer en signeret og krypteret email, at meddelelsen er uændret og stammer fra den faktiske afsender. Hvis modtageren også har et certifikat, kan du sende krypteret email, som kun kan læses af modtageren med deres certifikat. S/MIME bruger digitale (kommercielle) certifikater til dette formål. PGP er et meget udbredt open source alternativ. Begge teknikker bruger offentlige og private nøgler baseret på asymmetrisk kryptering: Afsenderen krypterer en e-mail med modtagerens offentligt tilgængelige nøgle, og modtageren kan derefter dekryptere og læse meddelelsen med den tilsvarende private nøgle.

Hvad er udvirkningen af denne sårbarhed?

Forskellige institutioner, som EFF (Electronic Frontier Foundation), anbefaler helt at deaktivere brugen af PGP til e-mail-kryptering for at forhindre risikoen for misbrug. Men det betyder, at du sender din e-mail helt ukrypteret, i stedet for at blive krypteret, med mulighed til at blive opsnappet og knækket. Den fuldstændige deaktivering af PGP eller S/MIME er efter vores opfattelse mindre sikker. Graden af sårbarhed afhænger også af den anvendte e-mail klient: Apple Mail (MacOS), mail-app (iOS), Thunderbird (Windows, MacOS, Linux), postboks (Windows) og mail-Mate (MacOS) er de mest modtagelige, fordi disse klienter blandt andet automatisk viser billeder.

Hvad kan jeg gøre?

Der findes i øjeblikket ingen konkret løsning. Virkningen af ​​den opdagede lækage er dog minimal, fordi en angriber først skal opsnappe en krypteret email. Indtil en patch bliver tilgængelig, kan du begrænse risikoen ved at bruge en mere sikker mailklient eller ved at ændre indstillinger:

  • Blandt andet misbruger EFAIL e-mail-klienters aktive indholdskapacitet. Ved at slukke HTML-visningen i din e-mail klient er risikoen for misbrug væsentligt begrænset.
  • Sårbarheden opstår, når en e-mail meddelelse automatisk dekrypteres af din e-mail klient. Hvis du deaktiverer automatisk dekryptering, så dekryptering udføres af en separat applikation, er du ikke sårbar. For at gøre dette skal du fjerne de private nøgler til dine certifikater fra din e-mail klient.

Påvirker EFAIL andre produkter?

Kun e-mail certifikater bruger S/MIME til signering og kryptering. For SSL certifikater og digitale signaturer til software og PDF signering anvendes også offentlige og private nøgler, men ikke S/MIME. For disse certifikater har de fundne sårbarheder ingen konsekvenser.

Har du spørgsmål eller har du brug for hjælp? Kontakt venligst vores supportafdeling på +45 898 719 39 eller på support@xolphin.com

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.