Transportsikring av e-post rfc STARTTLS

Transkript

1 Transportsikring av e-post rfc STARTTLS

2 Innhold 1 Innledning Formål Bakgrunn Avgrensninger Behov Mål Om rfc STARTTLS Bruksområder Meldinger mellom offentlige virksomheter Meldinger fra offentlig virksomhet til innbygger eller privat virksomhet Usikret og sikret e-post Dagens situasjon Utbredelse og modenhet Google Facebook Starttls.info Offentlig sektor Svakheter Man-in-the-Middle Svak algoritme eller nøkkellengde kan være tillatt Krav til sertifikater og nøkler Behov for veiledning Alternativer alternativet Alternativ Alternativ Anbefaling Drøfting Konklusjon Referanser... 10

3 1 Innledning 1.1 Formål Standardiseringsrådet 1 har bedt Seksjon for informasjonssikkerhet i Difi vurdere om bruk av STARTTLS iht. rfc 3207 for transportsikring av e-post bør være en anbefalt eller obligatorisk standard i offentlig sektor. Denne rapporten er utformet til Standardiseringsrådet, og er ment som underlag i den videre beslutningsprosessen. 1.2 Bakgrunn E-post er meldinger i Internet Message Format som overføres mellom e-posttjenere på internett via Simple Mail Transfer Protocol (SMTP). Den samme protokollen benyttes for overføring fra e-post-klient til e-post-tjener ved sending av e-post. Dette er en gammel protokoll, med lite innebygd sikkerhet. Meldingen sendes i klartekst, dvs. ukryptert, mellom sender og mottaker. Ettersom meldingen går i klartekst kan den fanges opp og leses av andre enn den tiltenkte mottakeren. Rfc 3207 beskriver et tillegg til SMTP for å gi mulighet for kryptering av overføringen av e-postmeldinger ved hjelp av Transport Layer Security (TLS). TLS er samme teknologi som benyttes for transportsikring for flere andre protokoller, bl.a. HTTP for web. Ved å benytte TLS for SMTP kan en få kanalkryptering og sikker oversendelse av meldinger mellom virksomheter. Det som beskrives i rfc 3207 omtales bl.a. som «STARTTLS», «SMTP-TLS» og «SMTP over TLS». I denne rapporten benytter vi «STARTTLS», da dette er mye brukt. I rapport 2013:13 «Meldingsutveksling internt i forvaltningen» peker Difi på at offentlig forvaltning benytter e-post til utveksling av ustrukturert informasjon i utstrakt grad. Det er hovedsakelig snakk om «usikret e-post», og i noe mindre grad e-post hvor meldingsinnholdet er sikret vha. ende-til-ende kryptering. Den samme rapporten tar for seg alternative konsepter for meldingsutveksling i offentlig sektor, og foreslår videre utredning av noen av disse. I rapport 2015:03 «Løsning for meldingsutveksling i offentlig sektor» utreder Difi hvordan meldingsutveksling i forvaltningen og mellom offentlig forvaltning og næringslivet bør foregå. Denne rapporten tar for seg andre meldingsformater og arkitekturer enn vanlig e-post, og den anbefaler videre arbeid med avklaringer og vurderinger. Det er grunn til å anta at forvaltningen vil fortsette å benytte ordinær e-post til utveksling av meldinger i større eller mindre grad i lang tid fremover. 1 standard.difi.no

4 1.3 Avgrensninger Bruk av STARTTLS er en mekanisme som gir en minimumssikring av de meldinger som fortsatt sendes via e-post, og er ikke ment som et alternativ til å etablere en felles løsning for meldingsutveksling i offentlig sektor. Bruk av STARTTLS antas å styrke sikkerheten for den informasjonen som pr i dag sendes via e-post, og som man antar også i overskuelig fremtid vil sendes via e-post. Hvilken informasjon som egner seg for utveksling via e-post, med eller uten bruk av transportsikring, er ikke en del av denne vurderingen. Utveksling av gradert informasjon, jf. sikkerhetsloven 11, er derfor heller ikke behandlet. 2 Behov Standard e-post over internett benytter, som nevnt, en gammel protokoll (SMTP) med lite innebygd sikkerhet. SMTP-overføringer har alltid være sårbare for avlytting, og man har gjerne pleid å si at e-post er like usikkert som det er å sende postkort med posten de kan i prinsippet leses av alle. Gjennom en serie artikler i forskjellige internasjonale aviser i tiden etter at Edward Snowden-saken ble kjent har vi fått bekreftet at internett-forbindelser er utsatt for masseovervåking, og at det hentes ut store mengder data fra internettforbindelser flere steder i verden. Som følge av dette har flere store internasjonale aktører begynt å kryptere all trafikk på egne linjer mellom egne datasentre rundt om i verden. Det er derfor ønskelig å se på om det man kan ta i bruk anerkjente og utbredte mekanismer, som STARTTLS, for å øke graden av beskyttelse mot innsyn i e- post som sendes i offentlig sektor. 3 Mål Det primære målet er styrket informasjonssikkerhet i meldingsutvekslingen i forvaltningen. Bruk av STARTTLS legger til rette også for å kreve sikring av e- post til enkeltmottakere eller avsendere. Økt utbredelse vil gi økt effekt. Dersom standarden benyttes av forvaltningen vil en også kunne styrke informasjonssikkerhet i meldingsutveksling med forvaltningen, mot innbyggere og private virksomheter, i de tilfeller der e-post benyttes til meldingsutveksling. Dersom offentlige virksomheter har e-postmottak med STARTTLS vil e- postmeldinger som sendes til virksomheten fra næringsliv og innbyggere kunne krypteres i transport. Det vil ikke kreve direkte involvering fra avsenderen dersom innbyggerens eller den private virksomhetens e-posttjenesteleverandør støtter bruk av STARTTLS.

5 4 Om rfc STARTTLS Rfc 3207 beskriver SMTP Service Extension for Secure SMTP over Transport Layer Security. Den innfører SMTP-kommandoen «STARTTLS» for å initiere bruk av TLS for transportsikring av SMTP-forbindelsen. Disse punktene er viktige for å forstå hva standarden tilbyr: I utgangspunktet opportunistisk kryptering av e-post o Fra avsendertjener til mottakertjener o E-post krypteres i utgangspunktet kun dersom både sender og mottaker støtter STARTTLS (opportunistisk) E-posttjener kan konfigureres slik at det er obligatorisk for e-post til alle mottakere i enkelte domener (som avsenderserver kan kreve STARTLS for å sende) o Dersom mottakende tjener ikke støtter STARTTLS vil sendingen ikke kunne gjennomføres Det gjennomføres en forhandling for å velge krypteringsalgoritmer og nøkkellengder, akkurat som for bruk av TLS for transportsikring av HTTP-protokollen o Det betyr at styrken på krypteringen avhenger av resultatet av forhandlingen o Dette avhenger igjen av konfigurasjonen av tjenerne på avsenderog mottakersiden o Akkurat som for TLS for HTTP for webtjenere, er det viktig å ha en god konfigurasjon for å oppnå ønsket styrke (algoritmer og nøkkellengder) på krypteringen Å benytte STARTTLS mellom e-posttjenere bidrar til å sikre konfidensialitet og integritet til meldingene som utveksles. Meldingen beskyttes mot innsyn, og man har en større trygghet for at man vet hvem meldingen sendes til. STARTTLS er en gyldig utvidelse av SMTP også på «submission»-porten. Det er her e-postklienter sender e-post til sin lokale e-posttjener for videre leveranse til mottaker. Virksomheter som benytter SMTP til dette steget i overføringen vil også kunne få transportsikring i slik «intern» overføring. 4.1 Bruksområder Meldinger mellom offentlige virksomheter Når e-postmeldinger skal overføres fra sendende virksomhet til mottakende virksomhet over internett kan SMTP-forbindelsen krypteres punkt-til-punkt vha TLS. Det vil si at meldingen overføres via en kryptert forbindelse fra sendende e-posttjener til mottakende e-posttjener. Man kan se det som at e-posttjenerne er endepunktene for en kryptert kanal, illustrert ved den grønne pilen på figuren.

6 Den blå pilen til høyre på figuren indikerer overføring av e-postmeldingen fra mottakende e-posttjener til sluttbrukers «postboks». Denne delen av overføringen kan ta mange former, og involvere forskjellige teknologier, som også kan inkludere sikker overføring. Dette ligger utenfor det som behandles i denne rapporten, og STARTTLS sikrer ikke denne delen av transporten Meldinger mellom offentlig virksomhet og innbygger eller privat virksomhet Private virksomheter benytter kommersielle e-posttjenester eller de har sine egne løsninger. Innbyggere benytter i hovedsak forskjellige e-post-tjenester levert over internett. Det vanligste er tjeneste levert av internettleverandør i Norge, eller tjenester fra de store internasjonale leverandørene Google (Gmail), Microsoft (Outlook.com/Hotmail), Apple, Yahoo mv. Innbyggere benytter også e-posttjenester levert av arbeidsgiver, både i offentlig og privat sektor. Dersom e-posttjenesten som privat virksomhet eller innbygger benytter støtter STARTTLS vil overføringen kunne sikres på samme måte som mellom offentlige virksomheter. I figuren i avsnittet foran vil «Virksomhet A» kunne være e-posttjenesten som benyttes av privat virksomhet eller innbygger som sender, og «Virksomhet B» vil kunne være den offentlige virksomheten som mottar. 4.2 Usikret og sikret e-post Bruk av STARTTLS vil bedre sikkerheten i overføringen av vanlig, usikret e- post mellom e-posttjenere. Allerede sikret e-post, hvor det benyttes krypteringsmekanismer som S/MIME eller PGP for ende-til-ende kryptering av meldingsinnholdet, vil få tilleggssikring ved bruk av STARTTLS fordi meldingshoder vil overføres

7 kryptert mellom tjenere. S/MIME og PGP benyttes til å kryptere innholdet i en e-postmelding. Meldingshodet inneholder adresseinformasjon, hvor meldingen skal leveres. Ved bruk av SMTP-TLS beskyttes altså også informasjon om hvem som kommuniserer med hverandre, i tillegg til at man beskytter hva de kommuniserer om, eller innholdet i meldingen. 4.3 Dagens situasjon Utbredelse og modenhet Rfc 3207 ble publisert i Dette er veletablert teknologi i dag. Standarden må anses for å være moden, og alle de mest brukte programvaresystemene for overføring av e-post på internett har støtte for standarden, og har hatt det i lengre tid. Utbredelsen blant de store internasjonale leverandørene av e-posttjenester er stor. I praksis støtter alle STARTTLS, og stort sett alle meldinger som overføres mellom de store leverandørene overføres kryptert. Nedenfor følger en oversikt over noen av de største leverandørene av private e-posttjenester og andre store tjenesteleverandører, og statistikk for andel e-post som sendes via de som krypteres med STARTTLS Google Google publiserer statistikk for bruk av TLS for sin Gmail-tjeneste. Dette er en tjeneste med stor utbredelse, som også benyttes av mange i Norge. Status på andelen meldinger som overføres med TLS er: Utgående 81% Innkommende 60% Andelen meldinger som overføres kryptert mellom Gmail og andre utbredte tjenester er meget høy: Microsofts e-posttjeneste på hotmail.com % Apples e-posttjeneste i icloud - 100% Yahoos e-posttjeneste % Telenors e-posttjeneste (online.no) % Facebook Facebook publiserte en artikkel om utbredelse av STARTTLS i mai 2014, med analyse av data de har samlet inn. I konklusjonen skriver de bl.a.: «STARTTLS encryption is widely supported and has achieved critical mass despite some issues with certificate management. A system deploying STARTTLS support for the first time can expect more than half of its outbound to be encrypted. De kommer også med en generell oppfordring om å slå på støtte for STARTTLS: «we encourage everyone to deploy support for opportunistic encryption via STARTTLS.»

8 4.3.4 Starttls.info Starttls.info er et norskutviklet nettsted hvor en kan søke opp domenenavn og få informasjon om TLS-støtte for e-post. Nettstedet publiserer også statistikk: Kilde: ( ) Ifølge nettstedets data er litt over en million nettsteder undersøkt, i alt ca tusen unike e-posttjenere. Av disse har ca. 2/3 støtte for STARTTLS. Halvparten har ganske god støtte og konfigurasjon (karakter A, B eller C) Offentlig sektor En uformell undersøkelse av i underkant av tusen e-posttjenere for internettdomener i statlig og kommunal sektor gjort av Øyvind Grinde i Difi i oktober 2014 viste at ca. halvparten hadde støtte for STARTTLS. 4.4 Svakheter Det faktum at avsender og mottaker begge støtter bruk av STARTTLS betyr ikke at man kan være sikker på at overføringen er forsvarlig og godt kryptografisk sikret. Det kan være flere grunner til dette Man-in-the-Middle En angriper som har tilgang til infrastruktur mellom sender og mottaker kan manipulere kommunikasjonen mellom e-posttjenerne før TLS-sesjonen er satt opp. Den innledende kommunikasjonen rundt oppsettet av forbindelsen er ikke kryptert og kan derfor manipuleres. Svar fra mottakende server tidlig i oppsett av forbindelsen kan endres slik at sender får beskjed om at mottaker ikke støtter STARTTLS, og overføringen utføres i klartekst, selv om både avsender og mottaker har mulighet for bruk av STARTTLS.

9 4.4.2 Svak algoritme eller nøkkellengde kan være tillatt Akkurat som ved bruk av TLS for HTTP-forbindelser for web er god sikkerhet avhengig av god og korrekt konfigurering av endepunktene for forbindelsen. Her gjelder det e-posttjenerne. Tjenere kan konfigureres til å tillate bruk av svake algoritmer for kryptografiske funksjoner, eller bruk av svake nøkler, som svekker sikkerheten i overføringen. Dette er et ansvar som må ivaretas av den enkelte tjenesteeier. 4.5 Krav til sertifikater og nøkler Akkurat som ved annen bruk av TLS så er det forskjellige detaljer i praktisk bruk av standarden i tekniske løsninger som en virksomhet bør kjenne til. Dette inkluderer prosedyrer og teknisk konfigurasjon knyttet til digitale sertifikater, krypteringsalgoritmer og krypteringsnøkler. Igjen kan feil konfigurasjon føre til at man ikke oppnår ønsket sikkerhetsnivå, og dette er et ansvar som må ivaretas av den enkelte tjenesteeier. 4.6 Behov for veiledning Dersom virksomhetene blir anbefalt å bruke STARTTLS vil det være flere forskjellige valg de må ta: om bruk av TLS skal være opportunistisk eller obligatorisk, om de skal kreve TLS for visse forbindelser eller ikke osv. Råd og veiledning bør være tilgjengelig. Det kan være en fordel med råd og veiledning rundt tekniske forhold som konfigurasjon av e-posttjener, riktig bruk av sertifikater og nøkler, logging på e-post-tjener mv. Nasjonal sikkerhetsmyndighet (NSM) har utarbeidet en veiledning om bruk av STARTTLS for ugradert informasjon, som kan benyttes. Det kan være behov for ytterligere veiledning, men siden dette er moden teknologi, som er i ustrakt bruk, finnes det en rekke gode kilder til råd og tips.

10 5 Alternativer alternativet Virksomheter fortsetter å ta i bruk STARTTLS på eget initiativ. Nasjonal sikkerhetsmyndighet anbefaler og oppfordrer allerede aktivt til bruk av transportsikring av e-post for ugraderte systemer og ugradert informasjon, og de har utviklet en veileder for dette. Man må anta at en del virksomheter allerede følger denne anbefalingen, eller på eget initiativ allerede har valgt å ta i bruk STARTTLS. 5.2 Alternativ 1 Rfc 3207 gjøres til en anbefalt standard, med opportunistisk bruk av STARTTLS. Offentlige virksomheter som følger anbefalingen vil kunne sende og motta e-post over krypterte forbindelser når den andre parten har støtte for dette. I tilfeller hvor den andre parten ikke støtter STARTTLS vil meldingen bli overført som før, i klartekst. Virksomheter som ønsker det kan kreve bruk av STARTTLS til bestemte andre virksomheter de har mye kontakt med, på eget initiativ, og de kan finne informasjon om dette i veiledningen fra NSM. Økt bruk av STARTTLS vil føre til at en økende andel av e-posttrafikken overføres med transportsikring, uten fare for at dette skaper problemer eller komplikasjoner for denne trafikken dersom noen ikke støtter STARTTLS. Virksomheter kan benytte logging på e-posttjenere for å holde oversikt med hvor stor andel av e-postmengden som overføres kryptert, og til hvilke aktører forbindelsene er hhv. kryptert og ukryptert. 5.3 Alternativ 2 Videre utredning av obligatorisk standard med opportunistisk bruk av STARTTLS eller krav til sending med STARTTLS. Noen av svakhetene som er nevnt, f.eks. man-in-the-middle, kan avhjelpes ved å kreve at STARTTLS alltid skal benyttes mellom e-posttjenere. Dersom kryptert forbindelse ikke kan etableres mellom tjenerne vil meldingen ikke bli overført. Dette vil kreve tydeligere krav til oppsett og konfigurasjon av e- posttjenere, og kan føre til problemer med overføring av e-post. Frivillig, opportunistisk bruk av STARTTLS kan føre til at noen føler en falsk oppfatning av sikkerhet, uten nærmere kjennskap til hva som sendes kryptert og hva som overføres i klartekst. Krav til obligatorisk bruk av STARTTLS, enten opportunistisk eller med krav til kryptering av alle forbindelser, må eventuelt utredes nærmere, og inkludere en samfunnsøkonomisk analyse, før det kan foreslås som et reelt alternativ.

11 6 Anbefaling 6.1 Drøfting I dag overføres en god del e-post på internett i klartekst, men mye overføres også kryptert mellom de store leverandørene av e-posttjenester. Ved å ta i bruk STARTTLS i offentlig sektor vil en kunne øke mengden e-post som overføres kryptert mellom virksomheter betraktelig. Meldingsinnholdet vil være bedre beskyttet mot forskjellige man-in-the-middle-angrep som ønsker å hente ut og «avlytte» meldinger i transport. Masseuthenting av meldinger fra trafikkstrømmer på internett vil i utgangspunktet se kryptert trafikk mellom e- posttjenere, og ikke ha tilgang til meldingsteksten. Dersom transportsikring benyttes opportunistisk dersom begge ender støtter dette, og sender ber om det vil en dedikert angriper, med mulighet til å manipulere nettverkstrafikken for spesifikke forbindelser, kunne påvirke oppsettet av forbindelsen slik at kryptering ikke benyttes. Obligatorisk bruk av STARTTLS, med et oppsett hvor offentlige virksomheter konfigurerer sine e-posttjenester til tvungen bruk av TLS, hvor meldingen ikke sendes dersom kryptert forbindelse ikke kan opprettes, vil ha styrket vern mot slike avanserte man-in-the-middle-angrep. Et slikt alternativ kan ikke anbefales uten nærmere utredning av kostnader og andre konsekvenser. Bruk av STARTTLS vil ikke gi en endelig løsning på utfordringene med sikkerhet i e-post, og det arbeides med løsninger for bedre og sikrere meldingsutveksling i offentlig sektor. STARTTLS kan imidlertid bidra til noe sikrere e-post. Det er allerede i utstrakt bruk i offentlig sektor, og det er lav terskel for å ta det i bruk. 6.2 Konklusjon STARTTLS vil ikke kunne gi en endelig løsning på utfordringene med sikkerhet i e-post. Det benyttes likevel allerede av mange virksomheter i offentlig sektor, og økt bruk vil gi bedret sikkerhet på de områdene hvor STARTTLS kan bidra. Dette er en type standard som det er egnet å anbefale bruken av. Seksjon for informasjonssikkerhet i Difi anbefaler alternativ 1, som innebærer at rfc 3207 tas inn Referansekatalogen som en anbefalt standard.

12 7 Referanser IETF rfc SMTP Service Extension for Secure SMTP over Transport Layer Security IETF rfc 821 Simple Mail Transfer Protocol IETF rfc 5322 Internet Message Format Starttls.info - e-posttjenerstatistikk Google encryption in transit Facebook The current state of SMTP STARTTLS deployment Nasjonal sikkerhetsmyndighet Kryptering av e-postoverføring Difi Rapport 2013:13 «Meldingsutveksling internt i forvaltningen» Difi Rapport 2015:3 «Løsning for meldingsutveksling i offentlig sektor»