Google, Microsoft, Yahoo med flere går sammen om ny e-mail-kryptering

22. marts 2016 kl. 13:043
Tech-giganter foreslår ny standard, der skal sikre at e-mails kommer sikkert og krypteret frem
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Ingeniører fra teknologifirmaerne Google, Microsoft, Yahoo, Comcast, LinkedIn and 1&1 Mail & Media Development & Technology er gået sammen om et forslag til en ny standard for e-mail, der skal afløse den forældede Simple Mail Transfer Protocol (SMTP).

Det skriver teknologimediet The Next Web.

Den nye standard kaldet SMTP STS (Strict Transport Security) er indsendt som forslag til Internet Engineering Task Force (IETF). Hele udkastet kan læses her.

Den grundlæggende idé bag SMTP STS er, at når der sendes en e-mail til et domæne, der understøtter SMTP STS, vil afsenderen automatisk tjekke, om destinationen understøtter kryptering og hvorvidt deres certifikat er validt.

Artiklen fortsætter efter annoncen

Først hvis disse betingelser er opfyldt, vil selve e-mailen blive afsendt. Hvis modtageren ikke har styr på kryptering og certifikater, får afsenderen i stedet besked om, hvorfor e-mailen ikke kunne leveres.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
22. marts 2016 kl. 22:36

Svaret står i abstract i forslaget:

SMTP STS is a mechanism enabling mail service providers to declare their ability to receive TLS-secured connections, to declare particular methods for certificate validation, and <strong>to request sending SMTP servers to report upon and/or refuse to deliver messages that cannot be delivered securely.</strong>

Jeg synes at det lyder fornuftigt at afsender får lejlighed til at lade være med at sende hvis sikkerheden mangler.

2
22. marts 2016 kl. 18:31

De argumenterer med at problemet ikke er særligt stort og kommer så med et løsningsforslag, hmmm.

While such "opportunistic" encryption protocols provide a high barrier against passive man-in-the-middle traffic interception, any attacker who can delete parts of the SMTP session (such as the "250 STARTTLS" response) or who can redirect the entire SMTP session (perhaps by overwriting the resolved MX record of the delivery domain) can perform such a downgrade or interception attack.

Er der nogen som har data på problemets størrelse?

Det lugter langt væk af at udelukke små mailservere med selvunderskrevne ssl certificater og lign.

1
22. marts 2016 kl. 16:43

"Først hvis disse betingelser er opfyldt, vil selve e-mailen blive afsendt. Hvis modtageren ikke har styr på kryptering og certifikater, får afsenderen i stedet besked om, hvorfor e-mailen ikke kunne leveres."

Så kunne du få en mail i den gamle version, med besked om at der var mail, og en måde hvorpå du kunne modtage det. Så have du 24 timer inden mailen, "løb ud" til at få opdateret og hentet mail ?