Opdatering til Outlook ødelagde Nets’ NemID-understøttelse: Skulle virke igen næste år

Illustration: Microsoft
Det seneste års tid har NemID ikke uden videre kunnet bruges til mail-signering og -kryptering med Outlook 2016.

Microsofts mail-program Outlook 2016 har siden sidste år fungeret dårligt med en løsning fra Nets, der skal gøre det muligt at kryptere og signere mails via NemID. Virksomheden skulle dog være på vej med opdateret software, som løser problemet.

»Det kan godt være, det i starten bliver en mindre løsning, der fikser det for udvalgte brugere og senere bliver integreret fuldt ind i hele løsningen,« siger Thomas Sølling fra Nets.

Illustration: Screenshot nets.eu

Han er product manager for medarbejdersignatur og det, der kaldes 'Sikker e-mail'.

Med afsæt i et repræsentativt udsnit af befolkningen taler sandsynligheden for, at relativt få vil vide, hvad ‘Sikker e-mail’ i denne sammenhæng er for en størrelse.

Nets er kontraktuelt forpligtet overfor Digitaliseringsstyrelsen til at levere løsningen 'Sikker e-mail', der skal virke på ældre og nyere udgaver af Windows, Mac og Linux.

Løsningen gør det kort fortalt muligt via et tilføjelsesprogram fra Nets at kryptere og signere mails sendt via forskellige mailprogrammer på forskellige styresystemer.

Et af de mere udbredte mailprogrammer er Microsofts Outlook 2016. Dette program oplyses som værende formelt understøttet på Windows 10 til brug med ‘Sikker e-mail’.

Det har siden oktober sidste år imidlertid ikke været lige til at bruge ‘Sikker e-mail’ med en opdateret version af Outlook 2016 (build 1711 og senere). Ifølge Nets skyldes det, at Outlook 2016 omkring oktober 2017 fik en opdatering, der bevirker, at programmet ikke længere spiller helt sammen med Nets-software.

Kernen i problemet

Kernen i problemet er Nets’ implementering af det, der i Windows kaldes en kryptografisk serviceprovider (CSP). Nets' software implementerer en standard, som Microsoft er ved at udfase til fordel for en ny standard.

NemID-arkitekt Martin Thiim forklarer, at de seneste udgaver af Outlook 2016 er skruet sådan sammen, at hvis programmet modtager en mail krypteret med AES256, så skal den kryptografiske serviceprovider være implementeret via den nye standard, alternativt så skal serviceprovideren være bundlet sammen med Windows - hvilket Nets' software altså ikke er.

»Hvorvidt det er AES256, har egentlig ikke noget med vores provider at gøre. Vi har udviklet en kryptoprovider, der stiller brugerens NemID RSA-nøgle til rådighed via standard-grænseflader. Og det virker også fint i forhold til andre programmer. Hvis man eksempelvis anvender Thunderbird på Windows, så kan det godt få fat i nøglen og bruge den også med AES,« siger Martin Thiim.

Det er faktisk muligt på nuværende tidspunkt at dekryptere mails i Outlook 2016 med NemID via forskellige workarounds. Det står der mere om på en supportside fra Nets med titlen 'Outlook 2016 problemer med dekryptering af mails'.

Her står det blandt andet at læse, at en person, der ønsker at sende en krypteret mail til en modtager med Outlook 2016, på forhånd kan kontakte modtageren og få vedkommende til at sende en signeret mail.

Dernæst skal personen, der ønsker at sende en krypteret mail, føje afsenderen af den signerede mail til sine kontakter. Nu skulle det være muligt at sende en krypteret mail til modtageren. Vel at mærke ikke krypteret med AES256, men med 3DES-standarden.

Denne standard er ifølge et indlæg fra august i år hos den danske krypteringsvirksomhed Cryptomathic ved at blive sendt på pension af den amerikanske standardiseringsorganisation NIST.

Nets er i dialog med Microsoft

Nets er i dialog med Microsoft i forsøget på at få den eksisterende løsning til at fungere. Men Martin Thiim fortæller, at virksomheden forfølger et andet spor også, som går ud på at implementere den nye CSP-standard i NemID-softwaren til Windows og Outlook 2016.

»Vi skal lige have det til at fungere på alle platforme. Der er også nogle usability-udfordringer med det,« siger Martin Thiim.

Han fortæller, at udfordringen blandt andet er, at en ny implementering af den kryptografiske service-provider ikke nødvendigvis vil være kompatibel med ældre mailprogrammer end Outlook 2016, som bruger de gamle API’er. Det skyldes ifølge Thiim, at et certifikat kun kan være tilknyttet én provider af privatnøglen, en ny eller en gammel.

Nets har et proof-of-concept kørende i forhold til en løsning til Outlook 2016 baseret, hvor virksomheden har implementeret en kryptografisk service-providerløsning efter Microsofts seneste standard.

Hvorfor ikke være på forkant?

Nogle sidder måske og tænker, hvorfor Nets ikke kunne have været mere på forkant med de kryptografiske service-providerplaner fra Microsoft, så NemID-løsningen fortsat ville fungere uden diverse workarounds i Outlook 2016.

Hvad det angår, anfører Martin Thiim, at Nets' kryptoprovider er kodet op mod Windows SDK (Software development kit) og den tilhørende dokumentation. Og han påpeger, at andre programmer, der anvender samme API, fortsat fungerer.

»Det er i virkeligheden Outlook, der har ændret sig. Og der har vi ikke fået nogen notifikation eller andet. Det er opførslen i Outlook, der har ændret sig,« siger Martin Thiim.

Han fortæller, at Nets har kunnet se ud fra Microsoft-svar i support-fora, at ændringen er sket, men at det ikke er noget, virksomheden har set en formel annoncering af.

Nets: Outlook 2016 er supporteret

Selvom Nets endnu ikke har omsat informationerne fra blandt andet Microsofts support-fora til en reel løsning, som kan bruges sammen med Outlook 2016, fremgår det stadig af hjemmesiden for ‘Sikker e-mail’, at mailprogrammet fra Microsoft officielt er supporteret.

Og Thomas Sølling mener godt, man kan sige, Outlook 2016 er supporteret på Windows 10. I en opfølgende mail udtrykker han det som følger:

»Ja. Der er jo selvfølgelig nogle begrænsninger og nogle ekstra ting, man skal foretage, indtil vi kommer med en opdatering i starten af næste år. Men ja.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Per Jørgensen

Tja - har dropåpet alt Nem-id til identificering/signering/kryptering af brugermails - og gået til Comodo - som leverer et gratis cert til dette der virker out of the box - direkte med S/MIME SHA256

Så det er jo bare nemid der er totalt forældet allerede inden det kom frem.

Bjarke Alling

Jeg har i årevis brugt et chipkort med den tilhørende smart card middleware, Mircrosoft minidriver og Microsofts standard CSP som bindeled til den privatenøgle som ligger placeret i card os.

Det virker med både nyeste Outlook, Thunderbird osv og med AES256.

Niels Bertelsen

Flere af mine kunder og kunders kunder benytter Outlook 2016, både on-premis og cloud, og oplevede at de ikke kunne benytte sikker mail mere efter okt-nov 17 opdateringer af Outlook, frustrerende.

Jeg har brugt en del tid henover sommeren på at få det til at virke igen med Outlook 2016, og er endt med en simpel lille reg-fil jeg kører på de enkelte computere hvor Outlook 2016 afvikles fra.

Når denne lille reg-fil er lagt på kører sikker mail fint både ud og ind også med automatisk opslag i den centrale adressebog og uden at Nets har ændret noget i deres del af softwaren...

Mvh
Niels Bertelsen

Jens-Peter Vraa Jensen

Jeg gætter på, at han tvinger Outlook til at lave fallback til 3DES, hvorved CSP modulet fra Nets kan bruges.

Jeg har sloges en del med problemet og kunne ikke få løsningen med at tilføje kontakten fra en signeret mail til "Kontakpersoner" til at fungere.

Microsoft har en KB artikel om problemet:
https://support.microsoft.com/da-dk/help/4459215/error-when-you-try-to-d...

Nedenstående er registry ændringerne til Office 2016. Jeg har ikke testet med 2019, men mon ikke at hvis man erstatter 16.0 med 17.0 (gæt) så virker det også?

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security]
"UseAlternateDefaultEncryptionAlg"=dword:00000001
"DefaultEncryptionAlgOID"="1.2.840.113549.3.7"

Side note: Når jeg har implementeret ovenstående virker det, men så kan man ikke åbne de krypterede mails i Outlook 2016 på MAC..

Jens-Peter Vraa Jensen

Jeg fik testet løsningen med at få modparten til at sende en signeret mail og tilføje kontaktpersonen ved at højreklikke på navnet i mailen og vælge "Tilføj til kontaktpersoner".

Det virker også og jeg kan ikke forklare hvorfor det ikke virkede i testen i går, på trods af, at jeg slettede kontaktpersonen forinden.

Bjarne Nielsen

Ved at tvinge Outlook til at benytte en lavere kryptering ...

Jeg vil undlade at have en mening om det konkrete valg af algoritmer og om det er tilstrækkeligt i de konkrete situationer, men bare nøjes med at bemærke, at når man går nedad, så kommer der et tidspunkt, hvor man man ikke længere kan kalde løsningen for "Sikker e-mail", men kun for "E-mail".

Og man skal i den forbindelse have for øje, hvor langt frem i tiden, at det kommunikerede forventes stadig at være fortroligt.

Jens-Peter Vraa Jensen

Jeg vil undlade at have en mening om det konkrete valg af algoritmer og om det er tilstrækkeligt i de konkrete situationer, men bare nøjes med at bemærke, at når man går nedad, så kommer der et tidspunkt, hvor man man ikke længere kan kalde løsningen for "Sikker e-mail", men kun for "E-mail".

Og man skal i den forbindelse have for øje, hvor langt frem i tiden, at det kommunikerede forventes stadig at være fortroligt.

Jeg kan ikke være mere enig.

Som jeg forstår det, er det slet ikke muligt at benyttes AES256 med den nuværende NemID løsning med certifikat i nyere Outlook 2016 builds samt Outlook 2019.

3DES kan næppe betragtes som en acceptabel algoritme til "Sikker e-mail" i år 2018.

Jeg undrer mig over, at man fra det offentliges side ikke har "bedt" om en noget hurtigere løsning på problemet.

Hans Nielsen

Men så er det vel ikke sikkert mail mere - falsk sikkerhed ?

Når man ved at 3DES ikke længere er sikkert nok, da den på grund af alder, er overhalet af computerkraft og som jeg forstår det. Af forudberegning opslag, som betyder at man kan læse mail, med forholdvis lidt arbejde.

ER det så ikke bedre, IKKE at sende det som sikkert mail, og så ikke sende noget som påkræver det, med denne metode ?

Også ind til problemmet er løst, at bruge en metode som tutanota.com bruger. Selv om det er mere bøvlet, da man skal have udvækslet nøgler inden.

Hvis man vil have rigtigt sikkert mail. Så kan manvel også kun bruge nem id til identifikation. Når NET også har adgang til nøglen, så er det vel heller ikke rigtigt sikkert mail ?

Niels Bertelsen

Der er vist ikke nogen der kan være uenige i at 3DES har overlevet sig selv, og at betegnelsen burde rettes fra "sikker mail" til "næsten sikker og sikkert ubrydelig for de fleste mail".

Ikke desto mindre har digitaliseringsstyrelsen (og dermed kommunerne og det offentlige i almindelighed) tilsyneladende været tilfredse med at modtage mail fra borgere og virksomheder der var forsøgt gjort hemmelige for alle andre vha. 3DES.

Det er det "kunderne" til det offentlige er nødt til at forholde sig til hvis de vil arbejde med eks. kommunerne, de har ligesom ikke rigtigt noget reelt valg.

Nu var det jo ikke primært de krypteringstekniske aspekter artiklen handlede om.

Den handlede om at en Microsoft opdatering fik ødelagt noget der virkede inden opdateringen, og at Nets citeres for at sige at de forventer løsningen skulle virke igen "næste år".

Det jeg synes tangerer pinligt er, at dem der får vores allesammens penge for at holde løsningen kørende ikke selv har fundet frem til en, for kunderne, brugbar løsning på problemet noget tidligere når nu svaret var så simpelt.

Mvh
Niels

Finn Christensen

Flere af mine kunder og kunders kunder benytter Outlook 2016, både on-premis og cloud, og oplevede at de ikke kunne benytte sikker mail mere efter okt-nov 17 opdateringer af Outlook,,

Samt Windows 10 system opdatering (Fall Update "Redstone 5") var heller ikke tilstrækkelig stabil samt sluttestet.

Medførte tab af data, filer eller nogle mistede netværket, og den blev rullet tilbage. Jeg genkender her fortidens slendrian[1].

Personligt mistede jeg hele det trådløse netværk på en Win 10.

Heldigvis kender jeg til 35+ års utallige BSD mm. fra MS, og har jeg sikret mig på anden vis.

Ligner at MS endnu foretrækker sit ~90% næsten færdigt klyt rammer en eller anden opreklameret dato/planlægning, som er sat helt unødvendigt af - tænk sig dem selv.

Historik: Usikker eller utilstrækkelig kvalitet giver over år for år et elendigt renomme.

[1] bl.a. disse, men der er flere..
https://www.version2.dk/artikel/oktober-opdatering-windows-10-sletter-ik...
https://www.version2.dk/artikel/microsoft-bug-nedgraderer-windows-10-lic...
https://www.version2.dk/artikel/nyt-problem-med-oktober-opdatering-windo...

Mads Nielsen

Havde for nolge år tilbage en opgave med at få en semi-offentlig løsning på borger, men da de ansøgte om at få lov til at bruge nemlog-in, fik de at vide at de ikke var på "listen" over dem der kunne få lov til at benytte nemlog-in, men det kan self. være svært, da de ikke fandtes da man sendte nemlog-in i udbud.

noget lignende gælder nok også Outlook understøttelse af 'sikker mail' med NemId, hvis det skal laves, så er der nogen der skal be' om det og så skal der punges ud. Nets har ikke nogen god grund til at lave noget nyt, da MitID er på trapperne, eller at vedligeholde det de har lavet da løsning er på vej ud, og måske er det ikke dem der skal lave det næste...

Men har vi ikke allerede en sikker indboks i eboks? hvorfor kan borgere blive snydt af mails der ligner skats, når vi har eboks? er det fordi man har lavet et for omstændigt system, hvor folk skal give firmaer og styrelser lov til at skrive til dem? (der er vidst kommet en "holy shit vi har lavet det her dumt" løsning, hvor de gør op med alt "beskyttelse" af borgeren og indfør en "giv alle adgang" knap) .

Morten Bech

Jeg har i min virksomhed implementeret registry hacket, så fallback krypteringen er 3des. Det løste nogle udfordringer, men et nyt er kommet til. Nu kan modtagere (domstolene) af vores krypterede mails ikke åbne vedhæftede PDF. De får en winmail.dat fil i stedet.

Er der andre der har oplevet tilsvarende? Evt. en løsning?

Jeg er i sagens natur ikke sikker på, at det er ændringen i registreringsdatabasen, der er årsag til winmail.dat problemet (men vi sender i html og serveren o365, er sat op til at gennemtvinge html i stedet for evt rtf, så ændringen i registreringsdatabasen, der blev lavet lige omkring det tidspunkt, fra hvilket modtagerne oplever at modtage winmail.dat, spøger som en mulig årsag.)

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder