Digitaliseringsstyrelsen: Efail påvirker ikke Digital Post

Illustration: Jana Runde, Ruhr University Bochum/Electronic Frontier Foundation
Digital Post og krypteret kommunikation via NemID bruger S/MIME-standarden, som et hold forskere for nylig har vist indeholder adskillige sårbarheder. Digitaliseringsstyrelsen vurderer, at det ikke rokker ved den grundlæggende sikkerhed

Der er ingen grund til bekymring hos myndighederne, efter et hold forskere i midten af maj publicerede en rapport, der påviser alvorlige huller i den standard, som i vid udstrækning bruges af offentlige myndigheder og private virksomheder til mailkryptering.

Rapporten er døbt Efail. Helt kort har forskerne påvist, at det på forskellig vis er muligt at manipulere mails krypteret via S/MIME og PGP, på en måde så en angriber i sidste ende kan få kendskab til fortroligt indhold.

Læs også: Forskere afslører krypto-svagheder i mail: Både implementering og standarder får skylden

S/MIME er en integreret del af Digital Post i det offentlige. Efail-afsløringerne har dog ikke umiddelbart nogen betydning for Digital Post, lyder det fra Digitaliseringsstyrelsen.

»Vi er opmærksomme på de omtalte sårbarheder, der går på, at en angriber kan ændre indholdet af mails med krypteret indhold. Digital Post-løsningen benytter i tillæg til kryptering af de meddelelser, der sendes, også signering via NemID. Det betyder, at det ikke er muligt for en tredjepart at afvikle et 'man in the middle angreb', fordi det pga. signeringen vil blive opdaget og standset af løsningen,« skriver Adam Lebech, vicedirektør i Digitaliseringstyrelsen, til Version2.

Outlook er i stykker

S/MINE-standarden bliver især brugt til kryptereret virksomhedskommunikation igennem Outlook. Det er en markant afsløring, har den amerikanske krypteringsforsker Matthew Green tidligere fortalt Version2.

»Den protokol bliver brugt af et stort antal virksomheder til håndtering af fortrolige mails. Det faktum, at den protokol - og Microsoft Outlook - er i stykker, er en stor ting.«

Læs også: Forsker efter EFAIL: Stol ikke på PGP-værktøjer til meget følsom kommunikation

Heller ikke her vurderer Digitaliseringsstyrelsen, at Efail bør give anledning til bekymring.

»Den omtalte svaghed ændrer derfor ikke på, at Digital Post-løsningen fortsat er sikker. Det gælder også den måde, som myndighederne via integrationer baseret på S/MIME, fx via Outlook, kan levere sikre meddelelser til borgere og virksomheder ind i Digital Post-løsningen,« skriver Adam Lebech.

Tre simple indgreb

Mens det offentlige sikrer sig ved NemID, bør private virksomheder tænke sig om, inden de blindt fortsætter med S/MINE-standarden til kryptering i mailklienter.

Sådan lyder det fra Thomas Kristmar, der rådgiver virksomheder i it-sikkerhed.

»Før man begynder at gå i panik, er det værd at overveje, om du overhovedet står overfor en trussel. Er der nogen, der har en interesse i at få adgang til dine mails? Hvis du svarer ja til det, så skal du foretage tre forholdsvis simple indgreb,« siger Thomas Kristmar, senior manager hos KPMG og tidligere leder af policy-afdelingen hos Center for Cybersikkerhed, og fortsætter:

»Man skal slå understøttelse af html fra i mailklienten, så man kun sender og modtager mails som tekst. Derudover skal man slå automatisk indlæsning af eksternt indhold fra i mailklienten, og ikke mindst sikre sig at mailklienten er opdateret,« siger Thomas Kristmar.

Læs også: DI om cybersikkerhedsstrategi: Småpenge - og vigtige enheder holdes udenfor

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
Christian W. Moesgaard

Fejlen i disse mail-programmer var, at når de brugte PGP på en forkert måde, så virkede det og mailen blev umiddelbart krypteret, men den spyttede også nogle advarsler ud, som programmet ignorerede, hvorfor krypteringen ikke var sikker. Mailprogrammerne tog bare det dårlige resultat fra den ukomplette kryptering og sendte det.

Derfor var det selvfølgelig relevant at undersøge, om Digital Post også gjorde det forkert, men det ser ikke ud til at være tilfældet. Super, sag lukket.

Bjarne Nielsen

Fejlen i disse mail-programmer var, at når de brugte PGP på en forkert måde ...

Her er så ikke tale om PGP, men om S/MIME.

Og jeg er ikke sikker på, at jeg forstår forklaringen.

EFails nemmeste angreb, det såkaldte "direct exfiltration" angreb, baserer sig ikke på at modificere selve den krypterede besked, men derimod at wrappe den. Det kan et signatur-check ikke forsvare en imod (da den krypterede besked ikke er modificeret, er signaturen ikke brudt).

Der må være nogle mellemregninger, som de ikke fortæller os om.

Anders Jensen

Det er da betryggende at vide at DIGST mener, at Digital Post de facto er upåvirket.

Er det en officiel udmelding fra DIGST? Jeg kan godt se at Version2 har haft en korrespondance med dem, men der intet at finde på deres hjemmeside, hvilket virker lidt underlidt når de nu har en holdning til sagen - en sag, der trods alt også har en vis vigtighed.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017