12/01/20 – Microsoft releases patch for vulnerability.
Måske 12/01/21 ..?
Jeg vil undlade at have en mening om det konkrete valg af algoritmer og om det er tilstrækkeligt i de konkrete situationer, men bare nøjes med at bemærke, at når man går nedad, så kommer der et tidspunkt, hvor man man ikke længere kan kalde løsningen for "Sikker e-mail", men kun for "E-mail".</p>
<p>Og man skal i den forbindelse have for øje, hvor langt frem i tiden, at det kommunikerede forventes stadig at være fortroligt.
Jeg kan ikke være mere enig.
Som jeg forstår det, er det slet ikke muligt at benyttes AES256 med den nuværende NemID løsning med certifikat i nyere Outlook 2016 builds samt Outlook 2019.
3DES kan næppe betragtes som en acceptabel algoritme til "Sikker e-mail" i år 2018.
Jeg undrer mig over, at man fra det offentliges side ikke har "bedt" om en noget hurtigere løsning på problemet.
Jeg fik testet løsningen med at få modparten til at sende en signeret mail og tilføje kontaktpersonen ved at højreklikke på navnet i mailen og vælge "Tilføj til kontaktpersoner".
Det virker også og jeg kan ikke forklare hvorfor det ikke virkede i testen i går, på trods af, at jeg slettede kontaktpersonen forinden.
Jeg gætter på, at han tvinger Outlook til at lave fallback til 3DES, hvorved CSP modulet fra Nets kan bruges.
Jeg har sloges en del med problemet og kunne ikke få løsningen med at tilføje kontakten fra en signeret mail til "Kontakpersoner" til at fungere.
Microsoft har en KB artikel om problemet:https://support.microsoft.com/da-dk/help/4459215/error-when-you-try-to-decrypt-a-message-by-using-a-3des-certificate-in
Nedenstående er registry ændringerne til Office 2016. Jeg har ikke testet med 2019, men mon ikke at hvis man erstatter 16.0 med 17.0 (gæt) så virker det også?
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security] "UseAlternateDefaultEncryptionAlg"=dword:00000001 "DefaultEncryptionAlgOID"="1.2.840.113549.3.7"
Side note: Når jeg har implementeret ovenstående virker det, men så kan man ikke åbne de krypterede mails i Outlook 2016 på MAC..
God fortælling og beskrivelse af fejlsøgning! Det kunne være spændende at høre, hvordan/hvorfor sådan en fejl opstår hos en professionel leverandør.
Det minder mig om en sag jeg engang havde hos en kunde for en 7-8 år siden: Alt så perfekt ud, men synkronisering af data "hang" og fejlen var meget inkonsistent.
Efter at have fejlsøgt r.... ud af bukserne på min egen installation (for resten kørte jo fint for kunden) fandt jeg ud af, at pakker over en bestemt størrelse "forsvandt".
Ping var også dengang værktøjet til at finde problemet og kommandoen virker også fint under Windows (MS har faktisk en KB artikel: https://support.microsoft.com/en-sg/help/159211/diagnoses-and-treatment-of-black-hole-routers).
Der var gået en del timer med fejlsøgning/kontrol af installationen, og da jeg lidt ud på natten sagde til deres IT administrator, at de havde et problem med bestemte pakkestørrelser sagde han: Nå ja, vi plejer jo også at sænke MTU på vores servere. (SUK!).
En registry ændring senere kørte alt som det skulle.
Bruteforce anyone?
"256 henviser til antallet af mulige nøgler, der kan bruges til krypteringen."
Vi har også været igennem møllen med at afdække om TLS ville være nok til at sende personfølsomme data og den korte konklusion er "Nej".
Årsagen skal findes i, at man som dataejer har ansvaret for at de fortrolige data ikke kan tilgås af andre end den tiltænkte modtager.
Så hvis man ex. sender en e-mail til en gmail.com konto, vil den jo blive afleveret sikkert til Google, men herfra ved man ikke, hvorledes emailen bliver håndteret. Hvis den sendes ukrypteret mellem interne servere, kræver det en databehandler aftalte mellem afsender og Google.
I praksis lukker det helt ned for brugen af ukrypteret email hvis de indeholder personfølsomme data, da det i praksis ikke er realistisk at indgå databehandler aftaler med alle.
Dette er bekræftet ved to forskellige samtaler med datatilsynet inden for de sidste 3 mdr.
Tilføjelse: Som Thomas har skrevet, er 5.6.x controlleren ikke "Stable" men "Stable Candidate".
Den nye firmware vil blive rullet ud til 5.5.x controllerne "i nær fremtid", men pt. ingen dato.
Du kan blot installere deres 5.6.x controller - så er opgraderingen tilgængelig.
https://help.ubnt.com/hc/en-us/articles/115013737328-Ubiquiti-Devices-KRACK-Vulnerability
Hej Jens-Peter
Hvis du lige vil oplyse brugernavn og password på de to logins, du oplever denne fejl på vil vi tage hånd om det hurtigst muligt og få det fejlmeldt
Med venlig hilsen
(Navn slettet)
YouSee Support
Som jeg skrev i mit indlæg er BBM er IKKE det samme som BBM Protected, som du linker til. 99.9% (tilfældig, højt valgt tal) af alle BBM brugere har ikke BBM Protected, så det er ikke den brede brugerskare, der nyder godt at en rigtig, krypteret forbindelse.
FYI: Jeg har 9 års erfaring med BlackBerry Enterprise produkter og certificeret i dem alle (på nær BES12, da de har lukket ned for deres certificeringsprogram). Så jeg skulle mene at jeg har styr på sikkerheden i deres produkter :-)
In July, the Pakistan Telecommunications Authority notified the country's mobile phone operators that BlackBerry's BES servers would no longer be allowed to operate in the country starting in December "for security reasons."
http://blogs.blackberry.com/2015/11/why-blackberry-is-exiting-pakistan/
Den kommunikation som de Pakistanske myndigheder ønsker adgang til, er BES trafikken, dvs. den krypterede kommunikation mellem en BlackBerry smartphone og en virksomheds BES server.
Det er ikke korrekt at BlackBerry har deres eget telenetværk. De har deres eget APN, men det har man fin adgang til via landets teleoperatører, som man styrer med hård hånd.
BES trafik er krypteret med AES-256 og routes gennem BlackBerrys netværk. Dette gøres pga. designet i BES serveren, som kun har 1 udgående TCP forbindelse til BlackBerrys infrastruktur (BBI). Dvs. man skal ikke publicere noget mod internettet.
Tilsvarende laver en BlackBerry telefon en forbindelse til BBI. BBI's rolle er i praksis bare en "avanceret router++".
Det har i mange år været en våd drøm, at kunne sidde og "tappe" klar tekst data i BlackBerrys knudepunkter. BlackBerry arbejder sammen med alle landes respektive myndigheder ligesom alle andre gør. Dog har de altid nægtet at lægge bagdøre ind i deres enterprise produkter og blot henvist til at designet er lavet sikkert og de ikke vil ændre på det.
Sikkerheden ligger altså i end-to-end kryptering mellem telefon og BES (data in transit). Derudover kan man naturligvis kryptere indholdet på en BlackBerry smartphone (data at rest). På alle andre punkter er en BlackBerry smartphone fuldstændig ligeså usikker som alt andet: Den bruger samme mobilnetværk og samme protokoller, så hvis du overfører ukrypteret, så hjælper den dig altså ikke.
Man kan slet ikke sammenligne sikkerheden med BBM. For det første benytter alle telefoner samme krypteringsnøgle og af samme årsag betegner BlackBerry trafikken som "scrambled". Man udveksler ikke noget som helst via PIN numre - de er blot et ID for telefonen, som BBI bruger til at route trafik til/fra. Man kan tilføje en BBM bruger via hans PIN nummer, men det er hurtigere at invitere via en mail adresse. Hvis en bruger er tilknyttet en BES5 server, kan administratoren lave en virksomhedsnøgle (dvs. en specielt 168-bit 3DES nøgle til brugerne i virksomheden).
Nyere BBM klienter (BB10, iOS, Android) benytter TLS til at sikre forbindelsen mellem telefonen og BBI.https://help.blackberry.com/en/bbm-security/latest/bbm-security/kja1394549401756.html
BlackBerry kender naturligvis den fælles BBM krypteringsnøglen. Historisk set, har det været sværere end først antaget at få adgang til standard BBM data - nok mest pga. den proprietære transport protokol (SRP), der anvendes. Flere lande har forsøgt, men det har tilsyneladende ikke været så let, at få fat i de "scramblede" data.
BlackBerry må så pænt følge en dommerkendelse og udlevere klar tekst af BBM kommunikation mv. For år tilbage, tvang/forhandlede Pakistan BlackBerry til at opstille en lokal "BBI". Jeg antager at de vurderede at man bedre kunne holde øje med, at BlackBerry samarbejdede på denne måde, men detaljerne bliver holdt hemmelige mellem BlackBerry og Pakistan.
NB: BBM Protected er et kommercielt produkt med høj sikkerhed. Funktionelt er det som BBM.http://us.blackberry.com/enterprise/products/bbm-protected.html
Er det for meget at kræve at man rent faktisk har produktet i hænderne før man laver en "anmeldelse"? Det er simpelthen noget tyndt makværk.
Passport er en ny smartphone som "ikke som de andre", men giv den lige en chance og forstå hvem den markedsføres til. Jeg ved godt at det kræver man bruger lidt tid på at sætte sig ind i tingene.
Hvis ikke der er ressourcer til det, så skriv "Vi orker ikke at brug tid på dette produkt, men læs en Google Translate version af anmeldelsen hos ArsTecnica" - så sparer i da de sidste par minutter væk.
Jeg ved godt at det kan være svært at være objektiv, når man er tiltrukket af en bestemt platform/producent og en hver afvigelse fra hvad "man plejer" kan virke irriterende, men bør en journalist ikke i det mindste forsøge at afprøve et produkt i eks. en måned for at se hvorledes den klarer sig?
Jeg er meget enig med Lasse, på nær Android versionen: 10.2.1 har support for Android 4.2.2 og 10.3.0 har support for 4.3 :-)
Hej Mogens,
Kunne du ikke yde lidt "Rejsekort kundeservice" og dele det nummer med os andre?
Mvh Jens-Peter
Mon det var lige som P.I.S?Se 17:20 og frem :-)
Det er korrekt, at man kan flashe enhver device med et nyt, rent image.
Apple har lavet det således, at når et iOS device starter op, så valideres serienummeret (eller en anden ID) mod en database hos Apple. Hvis enheden registreret med et Apple ID, kan iOS kun benyttes hvis man kan logge ind med det apple ID. Man skal således kende både ID og password.
Jeg mener ikke at andre producenter har implementeret noget lignende, men holder sig rent til at kunne slette telefonen.
Det er i øvrigt HELT korrekt, at producenterne ingen interesse har i at forhindre tyveri af deres enheder og det bliver spændende at se, om vi kommer til at se levetiden for enheder stiger lidt. Man kunne i øvrigt forestille sig, at forsikringsselskaberne vil kræve at funktionen er slået til og at det kan dokumenteres for at få forsikringen udbetalt.
Havde jeg haft et alternativ til tdc/yousee, så havde jeg også fundet døren.
Helt enig.
Den dag der kan skydes en fiber ind fra en anden leverandør, så takker jeg også af. TDC er hele tiden på bagkanten af den teknologiske udvikling, mens deres priser er markant over. Tidligere kunne dette forsvares ved en bedre service, men det sluttede får år tilbage, da kapitalfondene kom ind.
YouSee har garanteret hastighed. Jeg antager at det ikke kun er hos mig.
I mit område, kan de så ikke levere den i spidsbelastningsperioden og det kompenserer de så for med 25% af prisen indtil problemet bliver løst (8 mdr. efter jeg meldte problemet). Det kræver naturligvis, at man tager fat i dem, melder fejlen og bruger tid på dette. Deres kundeservice er generelt venligt og kompetente, men de har SLET ikke styr på kommunikationen med kunderne, såfremt problemet ikke kan løses af kundeservice eller den tekniker, som sendes ud i løbet af de næste par dage.
Jeg har set nogle af deres performance tests, og vi snakker massive performance forbedringer i forhold til ex. SQLlite.
Hvis nogen har interesse, vil jeg da foreslå at I skriver til dem og beder om nogle demo/eksemper.
Jens-Peter Vraa Jensen