Email en privacy

Microsoft, Google en LinkedIn werken aan betere e-mailencryptie

Microsoft, Google, LinkedIn en andere techbedrijven hebben een voorstel voor SMTP STS ingediend. Daarmee moet encryptie van e-mail sterk verbeteren.

Email en privacy
E-mail is een van de minder goed beveiligde manieren om vertrouwelijke info te versturen. De onderliggende technologie (SMTP) is al decennia oud en de meeste e-mailberichten worden onversleuteld via internet verstuurd, in een standaard tekstformaat. Iedereen die het onderschept, zou de inhoud zo kunnen lezen. Nu privacy en encryptie weer volop in de belangstelling staan, grijpen tech-giganten Microsoft, Google en LinkedIn de kans om de beveiliging van e-mail te versterken. De oplossing heet SMTP Strict Transport Security (SMTP STS).

Encryptie van e-mail is nu nog problematisch

Voor veel mensen is versleuteling met PGP te veel gedoe. De pas geïntroduceerde e-mailapp ProtonMail maakt het gebruik van encryptie een stuk makkelijk, maar je zit dan wel weer vast aan een ProtomMail-adres, terwijl je liever Gmail of Outlook gebruikt.

Wat is SMTP STS?

Jaren geleden is SMTP STARTTLS bedacht om het versturen van e-mail veiliger te maken, maar veel kwam daar net van terecht, waardoor de meeste e-mail nog steeds onversleuteld via internet wordt verstuurd. Zelfs met SMTP STARTTLS is een man-in-the-middle aanval mogelijk, waardoor het bericht ongemerkt in verkeerde handen valt. Daar gaan de techreuzen nu iets aan doen. Apple doet niet mee, maar dat kan ermee te maken hebben dat zij momenteel heel andere zorgen aan hun hoofd hebben. Als SMTP STS een standaard wordt, zullen ze het ongetwijfeld gaan gebruiken.

Samen met Yahoo, Comcast, 1&1 en Microsoft heeft Google een nieuw voorstel ingediend, waaraan engineers van de genoemde bedrijven hebben gewerkt. Het moet beschermen tegen aanvallers die jouw e-mail willen onderscheppen of wijzigen, tijdens de verzending. Ook moet het voorkomen dat aanvallers zich kunnen voordoen als een andere partij (bijvoorbeeld jouw bank) of SSL kunnen kraken. Het voorstel is ingediend bij de Internet Engineering Tas Force, in de hoop dat zij het zullen invoeren.

Zo werkt SMTP STS

SMTP Strict Transport Security werkt als volgt. Als je een e-mail verstuurt naar een domein dat SMTP STS ondersteunt, dan checkt de verzender automatisch of de ontvanger ook encryptie ondersteunt. Ook wordt het certificaat gecheckt, om zeker te weten dat er communicatie met de juiste server plaatsvindt. Klopt alles, dan wordt de e-mail versleuteld verstuurd. Dergelijke checks zijn op internet al heel normaal, maar bij het versturen van e-mail worden ze nog niet altijd gebruikt.

Wel gebruikt Google al TLS-encryptie. Meer dan 70 procent van de inkomende berichten van Gmail worden verstuurd via SSL. Toch kan een bericht om allerlei redenen nog gewoon als platte tekst verstuurd worden, zonder dat je het als gebruiker door hebt. Daar moet SMTP STS iets aan doen.

Meer info lees je hier.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 20 maart 2016, 14:42
Categorie Achtergrond
Onderwerpen beveiliging, e-mail, encryptie

Reacties zijn gesloten voor dit artikel.