EFF hekelt strippen van e-mailencryptie door providers
De Amerikaanse burgerrechtenbeweging EFF heeft uitgehaald naar internetproviders die de e-mailencryptie van hun klanten strippen, waardoor de berichten onversleuteld worden verstuurd. Het gaat om zowel providers in de Verenigde Staten als Thailand die het STARTTLS-mechanisme van het e-mailverkeer van hun klanten verwijderen. STARTTLS is een belangrijke beveiligingsmaatregel die servers gebruiken om het e-mailverkeer tussen elkaar of clients te versleutelen.
Door het mechanisme te verwijderen voorkomt de provider dat de e-mailservers het e-mailverkeer versleutelen en zal de e-mail, tenzij de gebruiker zelf encryptie toepast, onversleuteld worden verstuurd. Een deel van het probleem ligt in het feit dat het STARTTLS-verzoek om versleuteld te communiceren zelf niet versleuteld is en daardoor kan worden gemanipuleerd. De EFF is daarom bezig STARTTLS te verbeteren. STARTTLS Everywhere, zoals de nieuwe versie wordt genoemd, moet encryptie tussen servers robuuster maken door encryptie te verplichten voor servers waarvan bekend is dat ze het ondersteunen.
Daarnaast roept de burgerrechtenbeweging providers op om direct te stoppen met deze werkwijze. "Internetproviders fungeren als een vertrouwde gateway naar het internet en het is een schending van dat vertrouwen om verkeer van gebruikers te onderscheppen of aan te passen, ongeacht het protocol dat hun klanten gebruiken", zegt Jacob Hoffman-Andrews van de EFF. Hij noemt het zelfs een dubbele schending als die aanpassingen ervoor zorgen dat de beveiligingsmaatregelen worden uitgeschakeld die gebruikers juist gebruiken om zichzelf te beschermen.
Hoe dan ook, strippen van STARTTLS maakt passwords wellicht zichtbaar op de hele lijn bij authenticated SMTP, tenzij je een client hebt die op tijd gaat klagen.
Hoe dan ook, strippen van STARTTLS maakt passwords wellicht zichtbaar op de hele lijn bij authenticated SMTP, tenzij je een client hebt die op tijd gaat klagen.
Dat is hoe e-mail werkt, je hebt totaal geen controle over het gebruik van encryptie later in het traject.
Daarom dien je het bericht zelf te voorzien van encryptie.
>En in delen van dat ESMTP traject maakt dat misschien wel helemaal niet uit.
Je gebruikt encryptie om ervoor zorg te dragen dat het bericht alleen door de ontvanger gelezen kan worden.
>tenzij je een client hebt die op tijd gaat klagen.
Je client zo instellen dat alleen TLS geaccepteerd wordt, tijdens het 'strippen' valt je client deze downgrade op.
Andere mailservers? Mijn mailserver zal mijn mail bij de mailserver van de ontvanger. Die levert het vervolgens (versleuteld) af op de mailserver van de ontvanger. Ik ga er natuurlijk wel vanuit dat de client van de ontvanger ook een versleutelde verbinding met zijn mailserver heeft.
Zitten er om de een of andere reden vreemde mailservers tussen, dan zou ik eerst eens gaan kijken waarom dat het geval is. Het is gemakkelijker om daar de ontvangen mail te kopieren, dan om ergens onderweg een tap te zetten.
Dan kun je nog altijd testen of die mailservers STARTTLS doen.
Peter
De IT'ers hier kunnen wel vertellen over het simple mail transport protocol. Betere email programma's kunnen TLS vragen.
De mailservers van de providers zijn een standaard doel voor de datagraaiende diensten die er echt zijn voor de burgers van hun overheid...
Pas sinds kort is er aandacht voor encryptie. Wees je er wel van bewust dat de afzender, de ontvanger en de onderwerpregel NIET versleuteld worden bij gebruik iets als digibeet-vriendelijks als gpg/enigmail.
Vraag blijft waarom providers versleuteling er afhalen. Zou het te maken hebben met performance?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
