En oppfølger til denne saken, med langt flere detaljer, er tilgjengelig her: Slik kan angripere lese andres krypterte epost
To av de mest brukte teknologiene for kryptering av epost, PGP og S/MIME, skal ha sårbarheter som potensielt gjør det mulig for uvedkommende å lese kryptert epost. Dette gjelder ikke bare epost som sendes nå, men også tidligere sendte meldinger.
This vulnerability might be used to decrypt the contents of encrypted emails sent in the past. Having used PGP since 1993, this sounds baaad. #efail
— Mikko Hypponen (@mikko) 14. mai 2018
Anerkjente forskere
Det er en gruppe forskere ved blant annet universitetet FH Münster som har oppdaget sårbarhetene. Den samme gruppen har ifølge Ars Technica stått bak flere viktige sårbarhetsfunn, inkludert Drown-angrepet som millioner av webservere var sårbare for i 2016.
Foreløpig har ikke forskerne lagt fram noen detaljer om sårbarhetene. Offentliggjøringen skal først skje i morgen tidlig, norsk tid. Dette opplyser Sebastian Schinzel, professor i kybersikkerhet ved FH Münster i en twittermelding mandag morgen. Dette er et forhåndsvarsel til brukerne og sikkerhetsfellesskapet om hva som kommer.
We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4
— Sebastian Schinzel (@seecurity) 14. mai 2018
Rådes til å bruke andre, sikre tjenester
Forskerne har latt representanter for rettighetsorganisasjonen EFF få tilgang til informasjonen, og organisasjonen bekrefter at det utgjør en umiddelbar risiko å bruke disse teknologiene, inkludert muligheten for avsløring av innholdet i tidligere sendte meldinger.
EFFs råd er at verktøy som automatisk dekrypterer PGP-kryptert epost enten avinstalleres eller deaktiveres, i alle fall inntil man har fått mer kunnskap om sårbarhetene og hvordan de kan fjernes. Spesielt det å lese kryptert epost skal utgjøre en risiko for avsløring, uten at EFF så langt har oppgitt årsaken til dette.
I mellomtiden rådes brukere med behov for å kommunisere sikkert med andre om å ta i bruk andre tjenester som tilbyr ende-til-ende-kryptering, for eksempel Signal.
EFF har i blogginnlegget inkludert lenker til oppskrifter på hvordan man midlertidig deaktiverer Enigmail i Thunderbird, GPGToolts i Apple Mail og Gpg4win i Outlook.
Men dette er bare noen av de mange verktøyene som kan benyttes for å kryptere epost.
Leste du denne? Slik tar du i bruk avlyttingssikker epost (Digi ekstra)
