Google, Microsoft, Yahoo med flere går sammen om ny e-mail-kryptering

Tech-giganter foreslår ny standard, der skal sikre at e-mails kommer sikkert og krypteret frem

/tb 3

Ingeniører fra teknologifirmaerne Google, Microsoft, Yahoo, Comcast, LinkedIn and 1&1 Mail & Media Development & Technology er gået sammen om et forslag til en ny standard for e-mail, der skal afløse den forældede Simple Mail Transfer Protocol (SMTP).

Det skriver teknologimediet The Next Web.

Læs også: Tech-giganter ruster sig til krypto-krig

Den nye standard kaldet SMTP STS (Strict Transport Security) er indsendt som forslag til Internet Engineering Task Force (IETF). Hele udkastet kan læses her.

Den grundlæggende idé bag SMTP STS er, at når der sendes en e-mail til et domæne, der understøtter SMTP STS, vil afsenderen automatisk tjekke, om destinationen understøtter kryptering og hvorvidt deres certifikat er validt.

Først hvis disse betingelser er opfyldt, vil selve e-mailen blive afsendt. Hvis modtageren ikke har styr på kryptering og certifikater, får afsenderen i stedet besked om, hvorfor e-mailen ikke kunne leveres.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

"Først hvis disse betingelser er opfyldt, vil selve e-mailen blive afsendt. Hvis modtageren ikke har styr på kryptering og certifikater, får afsenderen i stedet besked om, hvorfor e-mailen ikke kunne leveres."

Så kunne du få en mail i den gamle version, med besked om at der var mail, og en måde hvorpå du kunne modtage det. Så have du 24 timer inden mailen, "løb ud" til at få opdateret og hentet mail ?

  • 0
  • 0
Rune Tønnesen

De argumenterer med at problemet ikke er særligt stort og kommer så med et løsningsforslag, hmmm.

While such "opportunistic" encryption protocols provide a high barrier against passive man-in-the-middle traffic interception, any attacker who can delete parts of the SMTP session (such as the "250 STARTTLS" response) or who can redirect the entire SMTP session (perhaps by overwriting the resolved MX record of the delivery domain) can perform such a downgrade or interception attack.

Er der nogen som har data på problemets størrelse?

Det lugter langt væk af at udelukke små mailservere med selvunderskrevne ssl certificater og lign.

  • 0
  • 0
Johnnie Hougaard Nielsen

Svaret står i abstract i forslaget:

SMTP STS is a mechanism enabling mail service providers to declare their ability to receive TLS-secured connections, to declare particular methods for certificate validation, and to request sending SMTP servers to report upon and/or refuse to deliver messages that cannot be delivered securely.

Jeg synes at det lyder fornuftigt at afsender får lejlighed til at lade være med at sende hvis sikkerheden mangler.

  • 0
  • 0
Log ind eller Opret konto for at kommentere

Opkald i Facebook Messenger har fået end-to-end-kryptering

4

»Fuck Apple!«: Privacyfolk rødglødende efter Apples beslutning om at omgå kryptering – for børnenes skyld

26

Google indfører end-to-end-kryptering i besked-app

26
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Forstå de seneste anbefalinger i Schrems II-sagen
Webinar
Webinar
Nyt samarbejde om it-sikkerhed for SMVer
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder