Traditionell e-post lämpar sig dåligt för säker kommunikation. Leveranssäkerheten är låg och mejlinnehållet kan läsas av obehöriga parter. Journalister, politiker och andra användargrupper som är beroende av säker e-post använder därför en teknik som kallas PGP (Pretty Good Privacy). Med den kan de kryptera och signera mejl. Krypteringen gör att ingen obehörig kan läsa innehållet och signeringen gör att mottagaren kan lita på att mejlet kommer från den rätta avsändaren.
Dagens populära e-postklienter saknar stöd för att skicka och visa PGP-krypterade mejl. De behöver därför kompletteras med insticksprogram, vilket finns till bland annat Microsoft Outlook (Windows), Apple Mail (Mac OS) och Mozilla Thunderbird (Windows, Mac OS och Linux). Dessa tillägg dras tyvärr med säkerhetsbrister som går under samlingsnamnet Efail. Detta tillkännagavs av några euroepiska säkerhetsforskare tidigare i maj. Sedan dess har en livlig diskussion pågått om hur allvarliga säkerhetsbristerna egentligen är och ifall det går att lita på PGP. I denna artikel summerar vi situationen med Nikka Systems rekommendationer.
Bakgrund: Efail
Nyhetsbrev och andra mediarika mejl brukar inte ha bilderna bifogade. Då hade mejlen blivit orimligt stora. I stället innehåller de hänvisningar till en webbplats där bilderna finns. När våra e-postklienter ser dessa hänvisningar går de till webbplatsen och laddar ned de aktuella bilderna. Det avslöjar samtidigt för webbplatsägaren att vi har laddat ned bilder med de aktuella namnen. Detta avslöjande fenomen används bland annat vid utskick av nyhetsbrev för att avsändaren ska se hur många som har öppnat ett mejl (det är också därför moderna e-postklienter säger att de inte har laddat ned bilder för att värna om vår integritet).
Nu kan angripare dra nytta av samma fenomen för att dekryptera mejl som de tidigare inte kunnat läsa. Det gör de genom att skriva en HTML-kod i vilken de bakar in ett krypterat mejl som de vill kunna läsa. Det preparerade mejlet skickar de sedan till den rätta mottagaren. På grund av sårbarheten lurar HTML-koden mottagarens e-postklient att dekryptera det inbäddade, krypterade mejlet och att hämta en bild från angriparens server. Namnet på bilden som ska hämtas motsvarar det dekrypterade innehållet i mejlet. Det finns självfallet ingen bild med det namnet på angriparens server, men hämtningsförsöket i sig gör att angriparen får reda på vilken bild som e-postklienten försökte hämta (och därmed innehållet i det krypterade mejlet).
Både allvarligt och överdrivet
I medias bevakning har denna sårbarhet blossats upp. Det beror framförallt på att EFF rekommenderade allmänheten att sluta använda PGP och i stället byta till ett säkrare kommunikationssätt. Till saken hör att ingen angripare kan dekryptera mejl utan att först ha fått tag i de krypterade versionerna (antingen genom att avlyssna nätverkstrafik eller komma åt servern där mejlen ligger). Mottagare kan också motverka attacken genom att inte läsa in bilder från externa källor. Sårbarheten är alltså inte riktigt så allvarlig som EFF-rubrikerna har gett sken av.
Så länge sändare och mottagare har korrekt konfigurerade e-postklienter är det fortfarande säkert att använda PGP. Problemet är att den som sänder ett krypterat mejl inte kan vara säker på att mottagaren har gjort sin läxa och konfigurerat sin e-postklient rätt. Ännu värre är det om en avsändare skickar ett mejl till flera mottagare. Då måste alla mottagare ha korrekt konfigurerade e-postklienter för att fullständigt förhindra attacken.
I ett officiellt uttalande från förra veckan gav Andy Yen (grundare av Protonmail), Phil Zimmermann (skapare av PGP), Patrick Brunschwig (grundare av Enigmail) och Thomas Oberndörfer (grundare av Mailvelope) sin syn på saken. De anser att EFF:s påståenden är både missvisande och potentiellt skadliga. De poängterar tydligt att PGP i sig inte är trasigt, utan att det är implementationerna av PGP som är felaktigt gjorda. Detta har de förvisso rätt i, men kraven som PGP-protokollet ställer på implementationerna hade kunnat vara strängare. Den kända kryptografen Matthew Green riktar exempelvis kritik mot faktumet att PGP inte kräver meddelandeautentisering, något som borde varit obligatoriskt idag.
Nödvändiga åtgärder
Du behöver inte följa EFF:s rekommendation och avinstallera ditt PGP-program. Det är en överdrivet drastisk åtgärd. Du måste däremot förhindra att angripare använder din e-postklient för att dekryptera tidigare skickade mejl.
Microsoft Outlook med GPG4Win
De aktuella versionerna av Microsoft Outlook med GPG4Win är säkra. Sårbarheten drabbar Microsoft Outlook 2007, men den versionen av e-postklienten är redan gången ur tiden. *
Apple Mail med GPGTools
Apples e-postklient med GPGTools är drabbad. Tilläggsutvecklarna kommer att släppa en uppdatering som fixar sårbarheten. Fram till dess måste du stänga av hämtning av innehåll från externa källor. *
Mozilla Thunderbird med Enigmail
Enigmail har släppt en uppdatering som åtgärdar sårbarheten. Installera den för att täppa till säkerhetshålet. *
Protonmail
Den webbaserade mejltjänsten Protonmail påverkas inte av Efail.
* Efail-sårbarheterna drabbar inte enbart PGP-användare. De drabbar också S/mime-användare. S/mime är en alternativ lösning som ibland används i stället för PGP. Microsoft Outlook, Apple Mail och Mozilla Thunderbird har inbyggt stöd för S/mime, och tyvärr är samtliga versioner av dessa e-postklienter drabbade av sårbarheten.
Konsekvenserna för PGP
PGP var oanvändarvänligt redan före Efail-säkerhetsbristen uppdagades. Risken för felkonfigurerade e-postklienter försvårar användandet ytterligare då sändaren måste förvissa sig om att alla mottagare har korrekt konfigurerade e-postklienter. Detta kommer tyvärr att bromsa den redan långsamma adopteringen av tekniken. Det är därför förståeligt att EFF rekommenderar andra alternativ.
Med meddelandeappen Signal kan vem som helst kommunicera krypterat och autentiserat med andra Signal-användare. Appen är lika enkel att komma igång med som Facebook Messenger eller Whatsapp. Signal finns till Android, Iphone och de tre stora datoroperativsystemen. Tjänsten kostar inget att använda, har öppen källkod, är fri från reklam och finansieras av donationer. Opassande nog upptäcktes det förrförra veckan en säkerhetsbrist i skrivbordsversionen av Signal. Den är nu åtgärdad (kontrollera att du har den senaste versionen).
Mer information om såväl Signal som PGP finns i den kommande Bli säker-boken. Vill du lära dig mer om PGP och hur du kommer igång med krypterad e-post kan du även besöka IX nyckelsigneringspartyn som anordnas några gånger per år. Du kan också kommunicera krypterat med mig (Karl Emil Nikka) via Signal eller PGP.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.