Opdatering til Outlook ødelagde Nets’ NemID-understøttelse: Skulle virke igen næste år
Microsofts mail-program Outlook 2016 har siden sidste år fungeret dårligt med en løsning fra Nets, der skal gøre det muligt at kryptere og signere mails via NemID. Virksomheden skulle dog være på vej med opdateret software, som løser problemet.
»Det kan godt være, det i starten bliver en mindre løsning, der fikser det for udvalgte brugere og senere bliver integreret fuldt ind i hele løsningen,« siger Thomas Sølling fra Nets.
Han er product manager for medarbejdersignatur og det, der kaldes 'Sikker e-mail'.
Med afsæt i et repræsentativt udsnit af befolkningen taler sandsynligheden for, at relativt få vil vide, hvad ‘Sikker e-mail’ i denne sammenhæng er for en størrelse.
Nets er kontraktuelt forpligtet overfor Digitaliseringsstyrelsen til at levere løsningen 'Sikker e-mail', der skal virke på ældre og nyere udgaver af Windows, Mac og Linux.
Løsningen gør det kort fortalt muligt via et tilføjelsesprogram fra Nets at kryptere og signere mails sendt via forskellige mailprogrammer på forskellige styresystemer.
Et af de mere udbredte mailprogrammer er Microsofts Outlook 2016. Dette program oplyses som værende formelt understøttet på Windows 10 til brug med ‘Sikker e-mail’.
Det har siden oktober sidste år imidlertid ikke været lige til at bruge ‘Sikker e-mail’ med en opdateret version af Outlook 2016 (build 1711 og senere). Ifølge Nets skyldes det, at Outlook 2016 omkring oktober 2017 fik en opdatering, der bevirker, at programmet ikke længere spiller helt sammen med Nets-software.
Kernen i problemet
Kernen i problemet er Nets’ implementering af det, der i Windows kaldes en kryptografisk serviceprovider (CSP). Nets' software implementerer en standard, som Microsoft er ved at udfase til fordel for en ny standard.
NemID-arkitekt Martin Thiim forklarer, at de seneste udgaver af Outlook 2016 er skruet sådan sammen, at hvis programmet modtager en mail krypteret med AES256, så skal den kryptografiske serviceprovider være implementeret via den nye standard, alternativt så skal serviceprovideren være bundlet sammen med Windows - hvilket Nets' software altså ikke er.
»Hvorvidt det er AES256, har egentlig ikke noget med vores provider at gøre. Vi har udviklet en kryptoprovider, der stiller brugerens NemID RSA-nøgle til rådighed via standard-grænseflader. Og det virker også fint i forhold til andre programmer. Hvis man eksempelvis anvender Thunderbird på Windows, så kan det godt få fat i nøglen og bruge den også med AES,« siger Martin Thiim.
Det er faktisk muligt på nuværende tidspunkt at dekryptere mails i Outlook 2016 med NemID via forskellige workarounds. Det står der mere om på en supportside fra Nets med titlen 'Outlook 2016 problemer med dekryptering af mails'.
Her står det blandt andet at læse, at en person, der ønsker at sende en krypteret mail til en modtager med Outlook 2016, på forhånd kan kontakte modtageren og få vedkommende til at sende en signeret mail.
Dernæst skal personen, der ønsker at sende en krypteret mail, føje afsenderen af den signerede mail til sine kontakter. Nu skulle det være muligt at sende en krypteret mail til modtageren. Vel at mærke ikke krypteret med AES256, men med 3DES-standarden.
Denne standard er ifølge et indlæg fra august i år hos den danske krypteringsvirksomhed Cryptomathic ved at blive sendt på pension af den amerikanske standardiseringsorganisation NIST.
Nets er i dialog med Microsoft
Nets er i dialog med Microsoft i forsøget på at få den eksisterende løsning til at fungere. Men Martin Thiim fortæller, at virksomheden forfølger et andet spor også, som går ud på at implementere den nye CSP-standard i NemID-softwaren til Windows og Outlook 2016.
»Vi skal lige have det til at fungere på alle platforme. Der er også nogle usability-udfordringer med det,« siger Martin Thiim.
Han fortæller, at udfordringen blandt andet er, at en ny implementering af den kryptografiske service-provider ikke nødvendigvis vil være kompatibel med ældre mailprogrammer end Outlook 2016, som bruger de gamle API’er. Det skyldes ifølge Thiim, at et certifikat kun kan være tilknyttet én provider af privatnøglen, en ny eller en gammel.
Nets har et proof-of-concept kørende i forhold til en løsning til Outlook 2016 baseret, hvor virksomheden har implementeret en kryptografisk service-providerløsning efter Microsofts seneste standard.
Hvorfor ikke være på forkant?
Nogle sidder måske og tænker, hvorfor Nets ikke kunne have været mere på forkant med de kryptografiske service-providerplaner fra Microsoft, så NemID-løsningen fortsat ville fungere uden diverse workarounds i Outlook 2016.
Hvad det angår, anfører Martin Thiim, at Nets' kryptoprovider er kodet op mod Windows SDK (Software development kit) og den tilhørende dokumentation. Og han påpeger, at andre programmer, der anvender samme API, fortsat fungerer.
»Det er i virkeligheden Outlook, der har ændret sig. Og der har vi ikke fået nogen notifikation eller andet. Det er opførslen i Outlook, der har ændret sig,« siger Martin Thiim.
Han fortæller, at Nets har kunnet se ud fra Microsoft-svar i support-fora, at ændringen er sket, men at det ikke er noget, virksomheden har set en formel annoncering af.
Nets: Outlook 2016 er supporteret
Selvom Nets endnu ikke har omsat informationerne fra blandt andet Microsofts support-fora til en reel løsning, som kan bruges sammen med Outlook 2016, fremgår det stadig af hjemmesiden for ‘Sikker e-mail’, at mailprogrammet fra Microsoft officielt er supporteret.
Og Thomas Sølling mener godt, man kan sige, Outlook 2016 er supporteret på Windows 10. I en opfølgende mail udtrykker han det som følger:
»Ja. Der er jo selvfølgelig nogle begrænsninger og nogle ekstra ting, man skal foretage, indtil vi kommer med en opdatering i starten af næste år. Men ja.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
