image

EFF start nieuw project om veiligheid van e-mail te vergroten

dinsdag 26 juni 2018, 11:19 door Redactie, 3 reacties

De Amerikaanse burgerrechtenbeweging EFF is een nieuw project gestart om de veiligheid van e-mail te vergroten. STARTTLS Everywhere moet het eenvoudiger voor mensen maken om ervoor te zorgen dat hun communicatie niet kwetsbaar is voor massasurveillance.

STARTTLS is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet. Het moet door de beheerder van de mailserver worden ingeschakeld. Via de website starttls-everywhere.org kunnen gebruikers controleren of hun e-mailprovider STARTTLS heeft ingeschakeld, of er van een geldig certificaat gebruik wordt gemaakt en of die op de STARTTLS "preload list" staat.

"Net als http, is smtp niet ontwikkeld met encryptie en authenticatie in het achterhoofd, aangezien het vertrouwensmodel van het internet erg verschilt van wat het in de jaren 70 was", aldus de EFF. Mailservers communiceren standaard via smtp. Aangezien smtp geen gebruik van versleuteling maakt kan het eenvoudig worden afgeluisterd. STARTTLS gaat dit tegen door een beveiligde verbinding op te zetten.

De EFF merkt op dat de e-mailprovider in dit geval de e-mails nog wel steeds kan lezen. STARTTLS biedt namelijk geen end-to-end-encryptie van de e-mails. Volgens de burgerrechtenbeweging moet het dan ook vooral als een basale beveiligingsmaatregel tegen buitenstaanders worden gezien. Veel e-mailproviders bieden inmiddels STARTTLS aan, maar in veel gevallen wordt het gebruikte certificaat voor het opzetten van de beveiligde verbinding niet gecontroleerd. Zo kan een aanvaller nog steeds e-mails onderscheppen.

Daarnaast zijn mailservers kwetsbaar voor "downgrade-aanvallen". Bij het opzetten van de beveiligde verbinding stuurt de mailserver eerst een onversleuteld bericht met het verzoek tot het gebruik van STARTTLS. Een aanvaller op het netwerk kan dit bericht blokkeren, zodat de ontvangende mailserver het niet ziet en beide servers denken dat de ander geen STARTTLS ondersteunt.

STARTTLS Everywhere moet ook deze problemen oplossen. Het project biedt namelijk software waarmee serverbeheerders de mogelijkheid hebben om een geldig certificaat via Let's Encrypt te verkrijgen. De software kan de mailserver zo configureren dat het STARTTLS gebruikt en een geldig certificaat aan andere mailservers laat zien. Verder bevat STARTTLS Everywhere een "preload list" van e-mailservers die STARTTLS ondersteunen, wat downgrade-aanvallen tegen kan gaan. "Dit moet uiteindelijk voor veiligere e-mail en minder massasurveillance zorgen", aldus de EFF.

Reacties (3)
26-06-2018, 11:47 door Anoniem
Dit is wat je kunt doen als postmaster als veilige email een vereiste is:

SPF
DKIM
DMARC
CAA record
TSLA records
[Nog iets?]

Dit geeft een breed pallet aan controlemogelijkheden.

Onversleutelde verbindingen kunnen aan de serverzijde worden geweigerd vóór MAIL FROM. Als op den duur iedereen en zijn oma eindelijk encryptie op de goede manier gebruikt kunnen we dat gaan afdwingen. Tot die tijd kan het nodig bij specieke situaties i.v.m. AVG.
26-06-2018, 20:25 door Anoniem
Leuk initiatief, maar ze zijn wel erg bezig met hun eigen certificaatjes. Mijn mailserver met DNSSEC / DANE-TLSA record wordt afgeserveerd als onveilig, want hij presenteert geen door een bekende CA getekend certificaat. Dacht dat dat CA model zijn beste tijd wel gehad had inmiddels...
26-06-2018, 20:28 door Anoniem
"niet kwetsbaar is voor massasurveillance." behalve dan amerikaanse.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.