Af Nicolai Devantier, 16/05/18
Hvis du anvender OpenPGP eller S/MIME til at kryptere dine mails, så er der grund til bekymring.
Der er nemlig blevet rapporteret om en angrebsteknik, kaldet Efail, som potentielt kan give uvedkommende adgang til indholdet i en ellers krypteret mail. Også til indhold i allerede sendte mails.
Otte forskere fra tre tyske universiteter er blevet krediteret for at beskrive, hvordan sårbarheden udnyttes i to forskellige angrebstyper.
Forskerne advarer om, at standarderne ikke længere kan anses som en sikker kryptering, da der ikke er en rettelse til problemet.
Det simpleste af angrebene relaterer sig til sårbarheder i mail-klienter. Et mere kompliceret angreb kan udføres via algoritmerne i OpenPGP og MIME/S, der ifølge de tyske sikkerhedsforskere har de samme kryptografiske egenskaber.
En mulighed for at slippe uden om Efail er ved at undlade kryptering af mails i mail-klienten, og i stedet anvende en separat applikation til krypteringen.
Anbefaling:
Anvend fortsat krypteringsværktøjerne og vær opkmærksom på opdateringer. Der er fortsat uenighed blandt sikkerhedsfolk om problemerne med openPGP og S/MIME.
Links:
- Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels (draft 0.9.0), teknisk beskrivelse af svagheden (PDF).
- EFAIL describes vulnerabilities in the end-to-end encryption technologies OpenPGP and S/MIME that leak the plaintext of encrypted emails, beskrivelse af svagheden.
- Verschlüsselte E-Mails sind nicht sicher, artikel fra Süddeutsche Zeitung.
- Email No Longer a Secure Method of Communication After Critical Flaw Discovered in PGP, artikel fra Gizmodo.
- Forskere afslører krypto-svagheder i mail: Både implementering og standarder får skylden, artikel fra Version2.