image

EFF hekelt strippen van e-mailencryptie door providers

donderdag 13 november 2014, 15:51 door Redactie, 6 reacties

De Amerikaanse burgerrechtenbeweging EFF heeft uitgehaald naar internetproviders die de e-mailencryptie van hun klanten strippen, waardoor de berichten onversleuteld worden verstuurd. Het gaat om zowel providers in de Verenigde Staten als Thailand die het STARTTLS-mechanisme van het e-mailverkeer van hun klanten verwijderen. STARTTLS is een belangrijke beveiligingsmaatregel die servers gebruiken om het e-mailverkeer tussen elkaar of clients te versleutelen.

Door het mechanisme te verwijderen voorkomt de provider dat de e-mailservers het e-mailverkeer versleutelen en zal de e-mail, tenzij de gebruiker zelf encryptie toepast, onversleuteld worden verstuurd. Een deel van het probleem ligt in het feit dat het STARTTLS-verzoek om versleuteld te communiceren zelf niet versleuteld is en daardoor kan worden gemanipuleerd. De EFF is daarom bezig STARTTLS te verbeteren. STARTTLS Everywhere, zoals de nieuwe versie wordt genoemd, moet encryptie tussen servers robuuster maken door encryptie te verplichten voor servers waarvan bekend is dat ze het ondersteunen.

Daarnaast roept de burgerrechtenbeweging providers op om direct te stoppen met deze werkwijze. "Internetproviders fungeren als een vertrouwde gateway naar het internet en het is een schending van dat vertrouwen om verkeer van gebruikers te onderscheppen of aan te passen, ongeacht het protocol dat hun klanten gebruiken", zegt Jacob Hoffman-Andrews van de EFF. Hij noemt het zelfs een dubbele schending als die aanpassingen ervoor zorgen dat de beveiligingsmaatregelen worden uitgeschakeld die gebruikers juist gebruiken om zichzelf te beschermen.

Reacties (6)
13-11-2014, 18:57 door Anoniem
Hoop blabla. Geen enkele garantie dat de andere mail servers in het traject naar de ontvanger wel gebruik maken van emcryptie
13-11-2014, 19:51 door Anoniem
Door Anoniem:Hoop blabla. Geen enkele garantie dat de andere mail servers in het traject naar de ontvanger wel gebruik maken van emcryptie
Oh ja? Is dat werkelijk altijd zo? En in delen van dat ESMTP traject maakt dat misschien wel helemaal niet uit.
Hoe dan ook, strippen van STARTTLS maakt passwords wellicht zichtbaar op de hele lijn bij authenticated SMTP, tenzij je een client hebt die op tijd gaat klagen.
13-11-2014, 23:05 door spatieman
ordered by NSA
14-11-2014, 09:15 door Anoniem
Door Anoniem:
Door Anoniem:Hoop blabla. Geen enkele garantie dat de andere mail servers in het traject naar de ontvanger wel gebruik maken van emcryptie
Oh ja? Is dat werkelijk altijd zo? En in delen van dat ESMTP traject maakt dat misschien wel helemaal niet uit.
Hoe dan ook, strippen van STARTTLS maakt passwords wellicht zichtbaar op de hele lijn bij authenticated SMTP, tenzij je een client hebt die op tijd gaat klagen.

Dat is hoe e-mail werkt, je hebt totaal geen controle over het gebruik van encryptie later in het traject.
Daarom dien je het bericht zelf te voorzien van encryptie.
>En in delen van dat ESMTP traject maakt dat misschien wel helemaal niet uit.
Je gebruikt encryptie om ervoor zorg te dragen dat het bericht alleen door de ontvanger gelezen kan worden.

>tenzij je een client hebt die op tijd gaat klagen.
Je client zo instellen dat alleen TLS geaccepteerd wordt, tijdens het 'strippen' valt je client deze downgrade op.
14-11-2014, 10:31 door Anoniem
Door Anoniem: Hoop blabla. Geen enkele garantie dat de andere mail servers in het traject naar de ontvanger wel gebruik maken van emcryptie

Andere mailservers? Mijn mailserver zal mijn mail bij de mailserver van de ontvanger. Die levert het vervolgens (versleuteld) af op de mailserver van de ontvanger. Ik ga er natuurlijk wel vanuit dat de client van de ontvanger ook een versleutelde verbinding met zijn mailserver heeft.

Zitten er om de een of andere reden vreemde mailservers tussen, dan zou ik eerst eens gaan kijken waarom dat het geval is. Het is gemakkelijker om daar de ontvangen mail te kopieren, dan om ergens onderweg een tap te zetten.

Dan kun je nog altijd testen of die mailservers STARTTLS doen.

Peter
14-11-2014, 13:12 door Anoniem
Tja, het advies blijft om in beginsel niets te e-mailen wat je niet achterop een postkaart zou schrijven.
De IT'ers hier kunnen wel vertellen over het simple mail transport protocol. Betere email programma's kunnen TLS vragen.
De mailservers van de providers zijn een standaard doel voor de datagraaiende diensten die er echt zijn voor de burgers van hun overheid...
Pas sinds kort is er aandacht voor encryptie. Wees je er wel van bewust dat de afzender, de ontvanger en de onderwerpregel NIET versleuteld worden bij gebruik iets als digibeet-vriendelijks als gpg/enigmail.

Vraag blijft waarom providers versleuteling er afhalen. Zou het te maken hebben met performance?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.