Digitaliseringsstyrelsen: Efail påvirker ikke Digital Post
Der er ingen grund til bekymring hos myndighederne, efter et hold forskere i midten af maj publicerede en rapport, der påviser alvorlige huller i den standard, som i vid udstrækning bruges af offentlige myndigheder og private virksomheder til mailkryptering.
Rapporten er døbt Efail. Helt kort har forskerne påvist, at det på forskellig vis er muligt at manipulere mails krypteret via S/MIME og PGP, på en måde så en angriber i sidste ende kan få kendskab til fortroligt indhold.
S/MIME er en integreret del af Digital Post i det offentlige. Efail-afsløringerne har dog ikke umiddelbart nogen betydning for Digital Post, lyder det fra Digitaliseringsstyrelsen.
»Vi er opmærksomme på de omtalte sårbarheder, der går på, at en angriber kan ændre indholdet af mails med krypteret indhold. Digital Post-løsningen benytter i tillæg til kryptering af de meddelelser, der sendes, også signering via NemID. Det betyder, at det ikke er muligt for en tredjepart at afvikle et 'man in the middle angreb', fordi det pga. signeringen vil blive opdaget og standset af løsningen,« skriver Adam Lebech, vicedirektør i Digitaliseringstyrelsen, til Version2.
Outlook er i stykker
S/MINE-standarden bliver især brugt til kryptereret virksomhedskommunikation igennem Outlook. Det er en markant afsløring, har den amerikanske krypteringsforsker Matthew Green tidligere fortalt Version2.
»Den protokol bliver brugt af et stort antal virksomheder til håndtering af fortrolige mails. Det faktum, at den protokol - og Microsoft Outlook - er i stykker, er en stor ting.«
Heller ikke her vurderer Digitaliseringsstyrelsen, at Efail bør give anledning til bekymring.
»Den omtalte svaghed ændrer derfor ikke på, at Digital Post-løsningen fortsat er sikker. Det gælder også den måde, som myndighederne via integrationer baseret på S/MIME, fx via Outlook, kan levere sikre meddelelser til borgere og virksomheder ind i Digital Post-løsningen,« skriver Adam Lebech.
S/MIME er en krypteringsstandard, der er implementeret i flere mail-klienter, og som bruges til krypteret kommunikation.S/MIME
Kilde: Wikipedia mfl.
Tre simple indgreb
Mens det offentlige sikrer sig ved NemID, bør private virksomheder tænke sig om, inden de blindt fortsætter med S/MINE-standarden til kryptering i mailklienter.
Sådan lyder det fra Thomas Kristmar, der rådgiver virksomheder i it-sikkerhed.
»Før man begynder at gå i panik, er det værd at overveje, om du overhovedet står overfor en trussel. Er der nogen, der har en interesse i at få adgang til dine mails? Hvis du svarer ja til det, så skal du foretage tre forholdsvis simple indgreb,« siger Thomas Kristmar, senior manager hos KPMG og tidligere leder af policy-afdelingen hos Center for Cybersikkerhed, og fortsætter:
»Man skal slå understøttelse af html fra i mailklienten, så man kun sender og modtager mails som tekst. Derudover skal man slå automatisk indlæsning af eksternt indhold fra i mailklienten, og ikke mindst sikre sig at mailklienten er opdateret,« siger Thomas Kristmar.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
