Versleutelaars e-mail blijken lek

S/MIME en OpenPGP zijn lek

Jörg Schwenk: …onveilig… (afb: univ. van Bochum)

Onderzoekers van de universiteiten van Bochum en Münster (beide in Duitsland) en van Leuven (Be) hebben ontdekt dat twee versleutelingsnormen voor elektronische post lek zijn. De onderzoekers wisten door de verdedigingslinie van 25 van de 35 mailprogramma’s te breken die gebruik maakten van S/MIME en 10 van de 28 die OpenPGP als versleutelaar gebruikten. Inmiddels zouden de lekken zijn gedicht, maar de onderzoekers roepen om nieuwe normen.

Elektronische berichten kun je versleutelen en je denkt dan dat niemand behalve de geadresseerde zo’n versleuteld bericht kan lezen. Helaas blijken alle systemen te fnuiken, ook versleutelaars. De berichten kunnen onderweg op het wereldwijde web onderschept worden en ‘bewerkt’ door onverlaten. Zo’n onverlaat kan dan kwaadaardige opdrachten toevoegen in versleutelde vorm, waarna het veranderde bericht zijn weg vervolgt naar de ontvanger(s), waar de sleutel voor de ontcijfering is opgeslagen op diens/dier computer/telefoon.
Nadat het bericht bij de ontvanger is ontcijferd, zorgen de stiekeme opdrachten ervoor dat het mailprogramma van de ontvanger verbinding zoekt met de aanvaller (onverlaat) de eerstvolgende keer dat het bericht wordt geopend. En zie daar.

Jaren 90

S/MIME en OpenPGP zijn al sedert de jaren 90 in gebruik. S/MIME wordt vaak gebruikt door bedrijven, OpenPGP wordt meer gebruikt door individuen, zoals journalisten die in conflictgebieden werken. De onderliggende cryptografie is sedert de jaren 90 niet wezenlijk veranderd.
“Dit type cryptografie is al vaker gebroken zoals bij TLS, een protocol voor gegevensoverdracht op internet. We hebben nu aangetoond dat ook versleutelaars voor elektronische berichte kwetsbaar zijn”, zegt onderzoeker Jörg Schwenk van de universiteit van Bochum.

In zijn huidige vorm is S/MIME niet geschikt om berichten veilig te versleutelen, stellen de onderzoekers. Schwenk: “OpenPGP kan wel veilig worden gebruikt als het goed geconfigureerd is, maar in de praktijk bleek dat vaak niet het geval en moet daarom ook als onveilig worden beschouwd.” De Internet Engineering Taskforce, een onafhankelijk organisatie, zal er voor moeten zorgen dat er een nieuwe versleutelaar komt, stellen de onderzoekers.

Bron: EurekAlert

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.