Google, Microsoft, Yahoo med flere går sammen om ny e-mail-kryptering

Tech-giganter foreslår ny standard, der skal sikre at e-mails kommer sikkert og krypteret frem

/tb Tirsdag, 22. marts 2016 - 13:043

Ingeniører fra teknologifirmaerne Google, Microsoft, Yahoo, Comcast, LinkedIn and 1&1 Mail & Media Development & Technology er gået sammen om et forslag til en ny standard for e-mail, der skal afløse den forældede Simple Mail Transfer Protocol (SMTP).

Det skriver teknologimediet The Next Web.

Læs også: Tech-giganter ruster sig til krypto-krig

Den nye standard kaldet SMTP STS (Strict Transport Security) er indsendt som forslag til Internet Engineering Task Force (IETF). Hele udkastet kan læses her.

Den grundlæggende idé bag SMTP STS er, at når der sendes en e-mail til et domæne, der understøtter SMTP STS, vil afsenderen automatisk tjekke, om destinationen understøtter kryptering og hvorvidt deres certifikat er validt.

Først hvis disse betingelser er opfyldt, vil selve e-mailen blive afsendt. Hvis modtageren ikke har styr på kryptering og certifikater, får afsenderen i stedet besked om, hvorfor e-mailen ikke kunne leveres.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (3)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

Bent Jensen Tirsdag, 22. marts 2016 - 16:43

Hvorfor ikke modtager.

"Først hvis disse betingelser er opfyldt, vil selve e-mailen blive afsendt. Hvis modtageren ikke har styr på kryptering og certifikater, får afsenderen i stedet besked om, hvorfor e-mailen ikke kunne leveres."

Så kunne du få en mail i den gamle version, med besked om at der var mail, og en måde hvorpå du kunne modtage det. Så have du 24 timer inden mailen, "løb ud" til at få opdateret og hentet mail ?

Rune Tønnesen Tirsdag, 22. marts 2016 - 18:31

Konkurrencehæmmende?

De argumenterer med at problemet ikke er særligt stort og kommer så med et løsningsforslag, hmmm.

While such "opportunistic" encryption protocols provide a high
barrier against passive man-in-the-middle traffic interception, any
attacker who can delete parts of the SMTP session (such as the "250
STARTTLS" response) or who can redirect the entire SMTP session
(perhaps by overwriting the resolved MX record of the delivery
domain) can perform such a downgrade or interception attack.

Er der nogen som har data på problemets størrelse?

Det lugter langt væk af at udelukke små mailservere med selvunderskrevne ssl certificater og lign.

Johnnie Hougaard Nielsen Tirsdag, 22. marts 2016 - 22:36

Re: Hvorfor ikke modtager.

Svaret står i abstract i forslaget:

SMTP STS is a mechanism enabling mail service providers to declare their ability to receive TLS-secured connections, to declare particular methods for certificate validation, and to request sending SMTP servers to report upon and/or refuse to deliver messages that cannot be delivered securely.

Jeg synes at det lyder fornuftigt at afsender får lejlighed til at lade være med at sende hvis sikkerheden mangler.

Log ind eller Opret konto for at kommentere