Kwetsbaarheden in techniek voor versleutelde e-mail gevonden

14 mei 2018

Onderzoekers waarschuwen voor kwetsbaarheden in PGP en S/MIME, de meest gebruikte technieken voor e-mail versleuteling. Dit is vandaag gepubliceerd onder de noemer EFAIL. Je kunt S/MIME voor versleutelde e-mail prima blijven gebruiken. Het is wel aan te raden een aantal aanpassingen te doen in je e-mail software, en te updaten zodra dit mogelijk is.

Wat houdt de kwetsbaarheid in?

Uit inmiddels gepubliceerde informatie blijkt dat een aanvaller een kwetsbaarheid in HTML e-mail kan benutten door een versleuteld e-mail bericht van iemand te onderscheppen. Door vervolgens een HTML e-mail naar de ontvanger te sturen waarin dit versleutelde bericht weer is opgenomen, wordt de versleutelde inhoud van dat bericht (ook) zichtbaar in plain text.

Wat is e-mail encryptie?

Het digitaal ondertekenen en versleutelen (of encrypten) van e-mails voorkomt het onderscheppen, lezen en wijzigen van e-mails door derden. Het geeft de ontvanger de garantie dat het bericht ongewijzigd en van jou afkomstig is. Als de ontvanger ook een certificaat heeft, kun je versleutelde e-mail verzenden waardoor deze alleen voor de ontvanger te lezen is. S/MIME maakt hiervoor gebruik van digitale (commerciële) certificaten, PGP is een veelgebruikt open source alternatief. Beide technieken maken gebruik van publieke- en privé sleutels op basis van asymmetrische cryptografie. Je versleutelt een e-mail bericht met de publiek beschikbare sleutel van de ontvanger, die vervolgens met de corresponderende privé-sleutel het bericht kan ontsleutelen en lezen.

Wat is de impact van deze kwetsbaarheid?

Diverse instellingen, waaronder de EFF (Electronic Frontier Foundation) adviseren om het gebruik van PGP voor e-mail encryptie volledig uit te schakelen, om zo de kans op misbruik te voorkomen. Echter betekent dit dat je jouw e-mail dan volledig onversleuteld verstuurt, in plaats van wél versleuteld maar mogelijk te onderscheppen en te kraken. Het volledig uitschakelen van PGP of S/MIME is naar onze mening dus onveiliger. De mate van kwetsbaarheid hangt ook af van de gebruikte e-mail client: Apple Mail (macOS), Mail App (iOS), Thunderbird (Windows, macOS, Linux), Postbox (Windows) en Mail-Mate (macOS) zijn het meest vatbaar omdat deze clients o.a. automatisch afbeeldingen tonen.

Wat kun je doen?

Op dit moment is er nog geen volledige oplossing voor de kwetsbaarheid beschikbaar. De impact van het ontdekte lek lijkt echter te overzien, omdat een aanvaller eerst een versleutelde mail zal moeten onderscheppen. Tot er een oplossing beschikbaar komt in de vorm van een patch, kun je als gebruiker het risico beperken door te kiezen voor een veiligere e-mail client, of door instellingen te wijzigen:

• EFAIL maakt onder andere misbruik van active content. Door de HTML weergave in je e-mail client uit te schakelen beperk je het risico op misbruik aanzienlijk.
• De kwetsbaarheid ontstaat op het moment van het ontsleutelen van e-mail berichten, wat standaard automatisch door je e-mail programma gedaan wordt. Als je dit automatisch ontsleutelen uitzet, en het ontsleutelen door een aparte applicatie laat uitvoeren voorkom je dit dus. Verwijder hiervoor de privé-sleutels van je certificaten uit je e-mail programma.

Heeft EFAIL ook gevolgen voor andere producten?

Alleen e-mail certificaten maken gebruiken van S/MIME voor ondertekening en versleuteling. Voor SSL certificaten en digitale handtekeningen voor software - en PDF signing wordt weliswaar ook gewerkt met publieke - en privé sleutels, maar niet van S/MIME. Voor deze certificaten hebben de gevonden kwetsbaarheden dus geen gevolgen.

Heb je vragen of hulp nodig? Neem dan even contact met ons op met onze supportafdeling op 088-775 775 1 of support@xolphin.nl.