EFF hekelt strippen van e-mailencryptie door providers
De Amerikaanse burgerrechtenbeweging EFF heeft uitgehaald naar internetproviders die de e-mailencryptie van hun klanten strippen, waardoor de berichten onversleuteld worden verstuurd. Het gaat om zowel providers in de Verenigde Staten als Thailand die het STARTTLS-mechanisme van het e-mailverkeer van hun klanten verwijderen. STARTTLS is een belangrijke beveiligingsmaatregel die servers gebruiken om het e-mailverkeer tussen elkaar of clients te versleutelen.
Door het mechanisme te verwijderen voorkomt de provider dat de e-mailservers het e-mailverkeer versleutelen en zal de e-mail, tenzij de gebruiker zelf encryptie toepast, onversleuteld worden verstuurd. Een deel van het probleem ligt in het feit dat het STARTTLS-verzoek om versleuteld te communiceren zelf niet versleuteld is en daardoor kan worden gemanipuleerd. De EFF is daarom bezig STARTTLS te verbeteren. STARTTLS Everywhere, zoals de nieuwe versie wordt genoemd, moet encryptie tussen servers robuuster maken door encryptie te verplichten voor servers waarvan bekend is dat ze het ondersteunen.
Daarnaast roept de burgerrechtenbeweging providers op om direct te stoppen met deze werkwijze. "Internetproviders fungeren als een vertrouwde gateway naar het internet en het is een schending van dat vertrouwen om verkeer van gebruikers te onderscheppen of aan te passen, ongeacht het protocol dat hun klanten gebruiken", zegt Jacob Hoffman-Andrews van de EFF. Hij noemt het zelfs een dubbele schending als die aanpassingen ervoor zorgen dat de beveiligingsmaatregelen worden uitgeschakeld die gebruikers juist gebruiken om zichzelf te beschermen.
Hoe dan ook, strippen van STARTTLS maakt passwords wellicht zichtbaar op de hele lijn bij authenticated SMTP, tenzij je een client hebt die op tijd gaat klagen.
Hoe dan ook, strippen van STARTTLS maakt passwords wellicht zichtbaar op de hele lijn bij authenticated SMTP, tenzij je een client hebt die op tijd gaat klagen.
Dat is hoe e-mail werkt, je hebt totaal geen controle over het gebruik van encryptie later in het traject.
Daarom dien je het bericht zelf te voorzien van encryptie.
>En in delen van dat ESMTP traject maakt dat misschien wel helemaal niet uit.
Je gebruikt encryptie om ervoor zorg te dragen dat het bericht alleen door de ontvanger gelezen kan worden.
>tenzij je een client hebt die op tijd gaat klagen.
Je client zo instellen dat alleen TLS geaccepteerd wordt, tijdens het 'strippen' valt je client deze downgrade op.
Andere mailservers? Mijn mailserver zal mijn mail bij de mailserver van de ontvanger. Die levert het vervolgens (versleuteld) af op de mailserver van de ontvanger. Ik ga er natuurlijk wel vanuit dat de client van de ontvanger ook een versleutelde verbinding met zijn mailserver heeft.
Zitten er om de een of andere reden vreemde mailservers tussen, dan zou ik eerst eens gaan kijken waarom dat het geval is. Het is gemakkelijker om daar de ontvangen mail te kopieren, dan om ergens onderweg een tap te zetten.
Dan kun je nog altijd testen of die mailservers STARTTLS doen.
Peter
De IT'ers hier kunnen wel vertellen over het simple mail transport protocol. Betere email programma's kunnen TLS vragen.
De mailservers van de providers zijn een standaard doel voor de datagraaiende diensten die er echt zijn voor de burgers van hun overheid...
Pas sinds kort is er aandacht voor encryptie. Wees je er wel van bewust dat de afzender, de ontvanger en de onderwerpregel NIET versleuteld worden bij gebruik iets als digibeet-vriendelijks als gpg/enigmail.
Vraag blijft waarom providers versleuteling er afhalen. Zou het te maken hebben met performance?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.