Det er foreløpig ikke blitt offentliggjort detaljer om sårbarhetene som skal berøre både PGP- og S/MIME-basert kryptering for epost. Illustrasjonen viser hvordan kryptering med offentlig nøkkel fungerer.
Det er foreløpig ikke blitt offentliggjort detaljer om sårbarhetene som skal berøre både PGP- og S/MIME-basert kryptering for epost. Illustrasjonen viser hvordan kryptering med offentlig nøkkel fungerer. (Illustrasjon: Colourbox)

Epostkryptering

PGP-kryptert epost kan bli lest av uvedkommende


En oppfølger til denne saken, med langt flere detaljer, er tilgjengelig her:  Slik kan angripere lese andres krypterte epost

To av de mest brukte teknologiene for kryptering av epost, PGP og S/MIME, skal ha sårbarheter som potensielt gjør det mulig for uvedkommende å lese kryptert epost. Dette gjelder ikke bare epost som sendes nå, men også tidligere sendte meldinger.

Anerkjente forskere

Det er en gruppe forskere ved blant annet universitetet FH Münster som har oppdaget sårbarhetene. Den samme gruppen har ifølge Ars Technica stått bak flere viktige sårbarhetsfunn, inkludert Drown-angrepet som millioner av webservere var sårbare for i 2016.

Foreløpig har ikke forskerne lagt fram noen detaljer om sårbarhetene. Offentliggjøringen skal først skje i morgen tidlig, norsk tid. Dette opplyser Sebastian Schinzel, professor i kybersikkerhet ved FH Münster i en twittermelding mandag morgen. Dette er et forhåndsvarsel til brukerne og sikkerhetsfellesskapet om hva som kommer.

 

Rådes til å bruke andre, sikre tjenester

Forskerne har latt representanter for rettighetsorganisasjonen EFF få tilgang til informasjonen, og organisasjonen bekrefter at det utgjør en umiddelbar risiko å bruke disse teknologiene, inkludert muligheten for avsløring av innholdet i tidligere sendte meldinger. 

EFFs råd er at verktøy som automatisk dekrypterer PGP-kryptert epost enten avinstalleres eller deaktiveres, i alle fall inntil man har fått mer kunnskap om sårbarhetene og hvordan de kan fjernes. Spesielt det å lese kryptert epost skal utgjøre en risiko for avsløring, uten at EFF så langt har oppgitt årsaken til dette.

I mellomtiden rådes brukere med behov for å kommunisere sikkert med andre om å ta i bruk andre tjenester som tilbyr ende-til-ende-kryptering, for eksempel Signal. 

EFF har i blogginnlegget inkludert lenker til oppskrifter på hvordan man midlertidig deaktiverer Enigmail i Thunderbird, GPGToolts i Apple Mail og Gpg4win i Outlook. 

Men dette er bare noen av de mange verktøyene som kan benyttes for å kryptere epost. 

Leste du denne? Slik tar du i bruk avlyttingssikker epost (Digi ekstra)

Kommentarer (5)

Kommentarer (5)
Til toppen