Mail-kryptering ramt af svagheder

To krypteringsstandarder til mails er ramt af alvorlige svagheder, der kan give uvedkommende personer adgang til indholdet i krypteret tekst.

Hvis du anvender OpenPGP eller S/MIME til at kryptere dine mails, så er der grund til bekymring.

Der er nemlig blevet rapporteret om en angrebsteknik, kaldet Efail, som potentielt kan give uvedkommende adgang til indholdet i en ellers krypteret mail. Også til indhold i allerede sendte mails.

Otte forskere fra tre tyske universiteter er blevet krediteret for at beskrive, hvordan sårbarheden udnyttes i to forskellige angrebstyper.

Forskerne advarer om, at standarderne ikke længere kan anses som en sikker kryptering, da der ikke er en rettelse til problemet.

Det simpleste af angrebene relaterer sig til sårbarheder i mail-klienter. Et mere kompliceret angreb kan udføres via algoritmerne i OpenPGP og MIME/S, der ifølge de tyske sikkerhedsforskere har de samme kryptografiske egenskaber.

En mulighed for at slippe uden om Efail er ved at undlade kryptering af mails i mail-klienten, og i stedet anvende en separat applikation til krypteringen.

Anbefaling:

Anvend fortsat krypteringsværktøjerne og vær opkmærksom på opdateringer. Der er fortsat uenighed blandt sikkerhedsfolk om problemerne med openPGP og S/MIME.

Links: