Utredning standard for transportsikring av e-post v 1.1

Transportsikring av e-post
rfc 3207 - STARTTLS
Innhold
1
1.1
1.2
1.3
Innledning .................................................................................................. 1
Formål ......................................................................................................... 1
Bakgrunn ..................................................................................................... 1
Avgrensninger ............................................................................................. 2
2
Behov .......................................................................................................... 2
3
Mål .............................................................................................................. 2
4 Om rfc 3207 - STARTTLS ....................................................................... 3
4.1 Bruksområder .............................................................................................. 3
4.1.1 Meldinger mellom offentlige virksomheter .......................................... 3
4.1.2 Meldinger fra offentlig virksomhet til innbygger eller privat
virksomhet ....................................................................................................... 4
4.2 Usikret og sikret e-post ............................................................................... 4
4.3 Dagens situasjon .......................................................................................... 5
4.3.1 Utbredelse og modenhet ........................................................................ 5
4.3.2 Google ................................................................................................... 5
4.3.3 Facebook ............................................................................................... 5
4.3.4 Starttls.info ............................................................................................ 6
4.3.5 Offentlig sektor ..................................................................................... 6
4.4 Svakheter ..................................................................................................... 6
4.4.1 Man-in-the-Middle ................................................................................ 6
4.4.2 Svak algoritme eller nøkkellengde kan være tillatt ............................... 7
4.5 Krav til sertifikater og nøkler ...................................................................... 7
4.6 Behov for veiledning ................................................................................... 7
5
5.1
5.2
5.3
Alternativer ................................................................................................ 8
0-alternativet................................................................................................ 8
Alternativ 1 .................................................................................................. 8
Alternativ 2 .................................................................................................. 8
6 Anbefaling .................................................................................................. 9
6.1 Drøfting ....................................................................................................... 9
6.2 Konklusjon .................................................................................................. 9
7
Referanser ................................................................................................ 10
1
Innledning
1.1
Formål
Standardiseringsrådet1 har bedt Seksjon for informasjonssikkerhet i Difi
vurdere om bruk av STARTTLS iht. rfc 3207 for transportsikring av e-post bør
være en anbefalt eller obligatorisk standard i offentlig sektor.
Denne rapporten er utformet til Standardiseringsrådet, og er ment som underlag
i den videre beslutningsprosessen.
1.2
Bakgrunn
E-post er meldinger i Internet Message Format som overføres mellom e-posttjenere på internett via Simple Mail Transfer Protocol (SMTP). Den samme
protokollen benyttes for overføring fra e-post-klient til e-post-tjener ved
sending av e-post. Dette er en gammel protokoll, med lite innebygd sikkerhet.
Meldingen sendes i klartekst, dvs. ukryptert, mellom sender og mottaker.
Ettersom meldingen går i klartekst kan den fanges opp og leses av andre enn
den tiltenkte mottakeren.
Rfc 3207 beskriver et tillegg til SMTP for å gi mulighet for kryptering av
overføringen av e-postmeldinger ved hjelp av Transport Layer Security (TLS).
TLS er samme teknologi som benyttes for transportsikring for flere andre
protokoller, bl.a. HTTP for web. Ved å benytte TLS for SMTP kan en få
kanalkryptering og sikker oversendelse av meldinger mellom virksomheter.
Det som beskrives i rfc 3207 omtales bl.a. som «STARTTLS», «SMTP-TLS»
og «SMTP over TLS». I denne rapporten benytter vi «STARTTLS», da dette er
mye brukt.
I rapport 2013:13 «Meldingsutveksling internt i forvaltningen» peker Difi på at
offentlig forvaltning benytter e-post til utveksling av ustrukturert informasjon i
utstrakt grad. Det er hovedsakelig snakk om «usikret e-post», og i noe mindre
grad e-post hvor meldingsinnholdet er sikret vha. ende-til-ende kryptering. Den
samme rapporten tar for seg alternative konsepter for meldingsutveksling i
offentlig sektor, og foreslår videre utredning av noen av disse.
I rapport 2015:03 «Løsning for meldingsutveksling i offentlig sektor» utreder
Difi hvordan meldingsutveksling av journalpliktig informasjon i forvaltningen
bør foregå. Denne rapporten tar for seg andre meldingsformater og arkitekturer
enn vanlig e-post, og den anbefaler en løsning for utveksling av journalpliktig
informasjon mellom offentlige virksomheter. Denne løsningen piloteres nå og
er planlagt innført i hele offentlig sektor.
Offentlige virksomheter skal ta i bruk overnevnte løsning ved utveksling av
journalpliktig informasjon mellom offentlige virksomheter. I tillegg skal
offentlige virksomheter ta i bruk digital postkasse for kommunikasjon med
1
standard.difi.no
innbyggere og næringsliv. Det er allikevel grunn til å anta at forvaltningen vil
fortsette å benytte ordinær e-post til utveksling av resterende meldinger i lang
tid fremover. Det er denne e-postkommunikasjonen som vil være gjenstand for
de krav til standarder som utredes i dette notatet.
1.3
Avgrensninger
Bruk av STARTTLS er en mekanisme som gir en minimumssikring av de
meldinger som fortsatt sendes via e-post, og er ikke ment som et alternativ til å
etablere en felles løsning for meldingsutveksling i offentlig sektor.
Bruk av STARTTLS antas å styrke sikkerheten for den informasjonen som pr i
dag sendes via e-post, og som man antar også i overskuelig fremtid vil sendes
via e-post.
Hvilken informasjon som egner seg for utveksling via e-post, med eller uten
bruk av transportsikring, er ikke en del av denne vurderingen. Utveksling av
gradert informasjon, jf. sikkerhetsloven § 11, er derfor heller ikke behandlet.
2
Behov
Standard e-post over internett benytter, som nevnt, en gammel protokoll
(SMTP) med lite innebygd sikkerhet. SMTP-overføringer har alltid være
sårbare for avlytting, og man har gjerne pleid å si at e-post er like usikkert som
det er å sende postkort med posten – de kan i prinsippet leses av alle.
Gjennom en serie artikler i forskjellige internasjonale aviser i tiden etter at
Edward Snowden-saken ble kjent har vi fått bekreftet at internett-forbindelser er
utsatt for masseovervåking, og at det hentes ut store mengder data fra internettforbindelser flere steder i verden. Som følge av dette har flere store
internasjonale aktører begynt å kryptere all trafikk på egne linjer mellom egne
datasentre rundt om i verden.
Det er derfor ønskelig å se på om det man kan ta i bruk anerkjente og utbredte
mekanismer, som STARTTLS, for å øke graden av beskyttelse mot innsyn i epost som sendes i offentlig sektor.
3
Mål
Det primære målet er styrket informasjonssikkerhet i meldingsutvekslingen i
forvaltningen. Bruk av STARTTLS legger til rette også for å kreve sikring av epost til enkeltmottakere eller avsendere. Økt utbredelse vil gi økt effekt.
Dersom standarden benyttes av forvaltningen vil en også kunne styrke
informasjonssikkerhet i meldingsutveksling med forvaltningen, mot innbyggere
og private virksomheter, i de tilfeller der e-post benyttes til meldingsutveksling.
Dersom offentlige virksomheter har e-postmottak med STARTTLS vil epostmeldinger som sendes til virksomheten fra næringsliv og innbyggere kunne
krypteres i transport. Det vil ikke kreve direkte involvering fra avsenderen
dersom innbyggerens eller den private virksomhetens e-posttjenesteleverandør
støtter bruk av STARTTLS.
4
Om rfc 3207 - STARTTLS
Rfc 3207 beskriver SMTP Service Extension for Secure SMTP over Transport
Layer Security. Den innfører SMTP-kommandoen «STARTTLS» for å initiere
bruk av TLS for transportsikring av SMTP-forbindelsen.
Disse punktene er viktige for å forstå hva standarden tilbyr:
 I utgangspunktet opportunistisk kryptering av e-post
o Fra avsendertjener til mottakertjener
o E-post krypteres i utgangspunktet kun dersom både sender og
mottaker støtter STARTTLS (opportunistisk)
 E-posttjener kan konfigureres slik at det er obligatorisk for e-post til
alle mottakere i enkelte domener (som avsenderserver kan kreve
STARTLS for å sende)
o Dersom mottakende tjener ikke støtter STARTTLS vil sendingen
ikke kunne gjennomføres
 Det gjennomføres en forhandling for å velge krypteringsalgoritmer og
nøkkellengder, akkurat som for bruk av TLS for transportsikring av
HTTP-protokollen
o Det betyr at styrken på krypteringen avhenger av resultatet av
forhandlingen
o Dette avhenger igjen av konfigurasjonen av tjenerne på avsenderog mottakersiden
o Akkurat som for TLS for HTTP for webtjenere, er det viktig å ha
en god konfigurasjon for å oppnå ønsket styrke (algoritmer og
nøkkellengder) på krypteringen
Å benytte STARTTLS mellom e-posttjenere bidrar til å sikre konfidensialitet
og integritet til meldingene som utveksles. Meldingen beskyttes mot innsyn, og
man har en større trygghet for at man vet hvem meldingen sendes til.
STARTTLS er en gyldig utvidelse av SMTP også på «submission»-porten. Det
er her e-postklienter sender e-post til sin lokale e-posttjener for videre leveranse
til mottaker. Virksomheter som benytter SMTP til dette steget i overføringen vil
også kunne få transportsikring i slik «intern» overføring.
4.1
Bruksområder
4.1.1 Meldinger mellom offentlige virksomheter
Når e-postmeldinger skal overføres fra sendende virksomhet til mottakende
virksomhet over internett kan SMTP-forbindelsen krypteres punkt-til-punkt vha
TLS. Det vil si at meldingen overføres via en kryptert forbindelse fra sendende
e-posttjener til mottakende e-posttjener. Man kan se det som at e-posttjenerne er
endepunktene for en kryptert kanal, illustrert ved den grønne pilen på figuren.
Den blå pilen til høyre på figuren indikerer overføring av e-postmeldingen fra
mottakende e-posttjener til sluttbrukers «postboks». Denne delen av
overføringen kan ta mange former, og involvere forskjellige teknologier, som
også kan inkludere sikker overføring. Dette ligger utenfor det som behandles i
denne rapporten, og STARTTLS sikrer ikke denne delen av transporten.
4.1.2
Meldinger mellom offentlig virksomhet og innbygger eller
privat virksomhet
Private virksomheter benytter kommersielle e-posttjenester eller de har sine
egne løsninger.
Innbyggere benytter i hovedsak forskjellige e-post-tjenester levert over
internett. Det vanligste er tjeneste levert av internettleverandør i Norge, eller
tjenester fra de store internasjonale leverandørene Google (Gmail), Microsoft
(Outlook.com/Hotmail), Apple, Yahoo mv. Innbyggere benytter også e-posttjenester levert av arbeidsgiver, både i offentlig og privat sektor.
Dersom e-posttjenesten som privat virksomhet eller innbygger benytter støtter
STARTTLS vil overføringen kunne sikres på samme måte som mellom
offentlige virksomheter. I figuren i avsnittet foran vil «Virksomhet A» kunne
være e-posttjenesten som benyttes av privat virksomhet eller innbygger som
sender, og «Virksomhet B» vil kunne være den offentlige virksomheten som
mottar.
4.2
Usikret og sikret e-post
Bruk av STARTTLS vil bedre sikkerheten i overføringen av vanlig, usikret epost mellom e-posttjenere.
Allerede sikret e-post, hvor det benyttes krypteringsmekanismer som S/MIME
eller PGP for ende-til-ende kryptering av meldingsinnholdet, vil få
tilleggssikring ved bruk av STARTTLS fordi meldingshoder vil overføres
kryptert mellom tjenere. S/MIME og PGP benyttes til å kryptere innholdet i en
e-postmelding. Meldingshodet inneholder adresseinformasjon, hvor meldingen
skal leveres. Ved bruk av SMTP-TLS beskyttes altså også informasjon om
hvem som kommuniserer med hverandre, i tillegg til at man beskytter hva de
kommuniserer om, eller innholdet i meldingen.
4.3
Dagens situasjon
4.3.1 Utbredelse og modenhet
Rfc 3207 ble publisert i 2002. Dette er veletablert teknologi i dag. Standarden
må anses for å være moden, og alle de mest brukte programvaresystemene for
overføring av e-post på internett har støtte for standarden, og har hatt det i
lengre tid.
Utbredelsen blant de store internasjonale leverandørene av e-posttjenester er
stor. I praksis støtter alle STARTTLS, og stort sett alle meldinger som
overføres mellom de store leverandørene overføres kryptert. Nedenfor følger en
oversikt over noen av de største leverandørene av private e-posttjenester og
andre store tjenesteleverandører, og statistikk for andel e-post som sendes via
de som krypteres med STARTTLS.
4.3.2 Google
Google publiserer statistikk for bruk av TLS for sin Gmail-tjeneste. Dette er en
tjeneste med stor utbredelse, som også benyttes av mange i Norge. Status på
andelen meldinger som overføres med TLS er:


Utgående 81%
Innkommende 60%
Andelen meldinger som overføres kryptert mellom Gmail og andre utbredte
tjenester er meget høy:




Microsofts e-posttjeneste på hotmail.com - 99.9-100%
Apples e-posttjeneste i iCloud - 100%
Yahoos e-posttjeneste – 99.9-100%
Telenors e-posttjeneste (online.no) – 95-100%
4.3.3 Facebook
Facebook publiserte en artikkel om utbredelse av STARTTLS i mai 2014, med
analyse av data de har samlet inn. I konklusjonen skriver de bl.a.: «STARTTLS
encryption is widely supported and has achieved critical mass despite some
issues with certificate management. A system deploying STARTTLS support
for the first time can expect more than half of its outbound email to be
encrypted.”
De kommer også med en generell oppfordring om å slå på støtte for
STARTTLS: «we encourage everyone to deploy support for opportunistic
encryption via STARTTLS.»
4.3.4 Starttls.info
Starttls.info er et norskutviklet nettsted hvor en kan søke opp domenenavn og få
informasjon om TLS-støtte for e-post. Nettstedet publiserer også statistikk:
Kilde: https://starttls.info/stats (2015-06-12)
Ifølge nettstedets data er litt over en million nettsteder undersøkt, i alt ca. 260tusen unike e-posttjenere. Av disse har ca. 2/3 støtte for STARTTLS.
Halvparten har ganske god støtte og konfigurasjon (karakter A, B eller C).
4.3.5 Offentlig sektor
En uformell undersøkelse av i underkant av tusen e-posttjenere for internettdomener i statlig og kommunal sektor gjort av Øyvind Grinde i Difi i oktober
2014 viste at ca. halvparten hadde støtte for STARTTLS.
4.4
Svakheter
Det faktum at avsender og mottaker begge støtter bruk av STARTTLS betyr
ikke at man kan være sikker på at overføringen er forsvarlig og godt
kryptografisk sikret. Det kan være flere grunner til dette.
4.4.1 Man-in-the-Middle
En angriper som har tilgang til infrastruktur mellom sender og mottaker kan
manipulere kommunikasjonen mellom e-posttjenerne før TLS-sesjonen er satt
opp. Den innledende kommunikasjonen rundt oppsettet av forbindelsen er ikke
kryptert og kan derfor manipuleres. Svar fra mottakende server tidlig i oppsett
av forbindelsen kan endres slik at sender får beskjed om at mottaker ikke støtter
STARTTLS, og overføringen utføres i klartekst, selv om både avsender og
mottaker har mulighet for bruk av STARTTLS.
4.4.2 Svak algoritme eller nøkkellengde kan være tillatt
Akkurat som ved bruk av TLS for HTTP-forbindelser for web er god sikkerhet
avhengig av god og korrekt konfigurering av endepunktene for forbindelsen.
Her gjelder det e-posttjenerne. Tjenere kan konfigureres til å tillate bruk av
svake algoritmer for kryptografiske funksjoner, eller bruk av svake nøkler, som
svekker sikkerheten i overføringen. Dette er et ansvar som må ivaretas av den
enkelte tjenesteeier.
4.5
Krav til sertifikater og nøkler
Akkurat som ved annen bruk av TLS så er det forskjellige detaljer i praktisk
bruk av standarden i tekniske løsninger som en virksomhet bør kjenne til. Dette
inkluderer prosedyrer og teknisk konfigurasjon knyttet til digitale sertifikater,
krypteringsalgoritmer og krypteringsnøkler. Igjen kan feil konfigurasjon føre til
at man ikke oppnår ønsket sikkerhetsnivå, og dette er et ansvar som må ivaretas
av den enkelte tjenesteeier.
4.6
Behov for veiledning
Dersom virksomhetene blir anbefalt å bruke STARTTLS vil det være flere
forskjellige valg de må ta: om bruk av TLS skal være opportunistisk eller
obligatorisk, om de skal kreve TLS for visse forbindelser eller ikke osv. Råd og
veiledning bør være tilgjengelig. Det kan være en fordel med råd og veiledning
rundt tekniske forhold som konfigurasjon av e-posttjener, riktig bruk av
sertifikater og nøkler, logging på e-post-tjener mv. Nasjonal
sikkerhetsmyndighet (NSM) har utarbeidet en veiledning om bruk av
STARTTLS for ugradert informasjon, som kan benyttes. Det kan være behov
for ytterligere veiledning, men siden dette er moden teknologi, som er i ustrakt
bruk, finnes det en rekke gode kilder til råd og tips.
5
Alternativer
5.1
0-alternativet
Virksomheter fortsetter å ta i bruk STARTTLS på eget initiativ.
Nasjonal sikkerhetsmyndighet anbefaler og oppfordrer allerede aktivt til bruk
av transportsikring av e-post for ugraderte systemer og ugradert informasjon, og
de har utviklet en veileder for dette. Man må anta at en del virksomheter
allerede følger denne anbefalingen, eller på eget initiativ allerede har valgt å ta i
bruk STARTTLS.
5.2
Alternativ 1
Rfc 3207 gjøres til en anbefalt standard, med opportunistisk bruk av
STARTTLS. Offentlige virksomheter som følger anbefalingen vil kunne sende
og motta e-post over krypterte forbindelser når den andre parten har støtte for
dette. I tilfeller hvor den andre parten ikke støtter STARTTLS vil meldingen bli
overført som før, i klartekst.
Virksomheter som ønsker det kan kreve bruk av STARTTLS til bestemte andre
virksomheter de har mye kontakt med, på eget initiativ, og de kan finne
informasjon om dette i veiledningen fra NSM.
Økt bruk av STARTTLS vil føre til at en økende andel av e-posttrafikken
overføres med transportsikring, uten fare for at dette skaper problemer eller
komplikasjoner for denne trafikken dersom noen ikke støtter STARTTLS.
Virksomheter kan benytte logging på e-posttjenere for å holde oversikt med
hvor stor andel av e-postmengden som overføres kryptert, og til hvilke aktører
forbindelsene er hhv. kryptert og ukryptert.
5.3
Alternativ 2
Videre utredning av obligatorisk standard med opportunistisk bruk av
STARTTLS eller krav til sending med STARTTLS.
Noen av svakhetene som er nevnt, f.eks. man-in-the-middle, kan avhjelpes ved
å kreve at STARTTLS alltid skal benyttes mellom e-posttjenere. Dersom
kryptert forbindelse ikke kan etableres mellom tjenerne vil meldingen ikke bli
overført. Dette vil kreve tydeligere krav til oppsett og konfigurasjon av eposttjenere, og kan føre til problemer med overføring av e-post.
Frivillig, opportunistisk bruk av STARTTLS kan føre til at noen føler en falsk
oppfatning av sikkerhet, uten nærmere kjennskap til hva som sendes kryptert og
hva som overføres i klartekst.
Krav til obligatorisk bruk av STARTTLS, enten opportunistisk eller med krav
til kryptering av alle forbindelser, må eventuelt utredes nærmere, og inkludere
en samfunnsøkonomisk analyse, før det kan foreslås som et reelt alternativ.
6
Anbefaling
6.1
Drøfting
I dag overføres en god del e-post på internett i klartekst, men mye overføres
også kryptert mellom de store leverandørene av e-posttjenester. Ved å ta i bruk
STARTTLS i offentlig sektor vil en kunne øke mengden e-post som overføres
kryptert mellom virksomheter betraktelig. Meldingsinnholdet vil være bedre
beskyttet mot forskjellige man-in-the-middle-angrep som ønsker å hente ut og
«avlytte» meldinger i transport. Masseuthenting av meldinger fra
trafikkstrømmer på internett vil i utgangspunktet se kryptert trafikk mellom eposttjenere, og ikke ha tilgang til meldingsteksten.
Dersom transportsikring benyttes opportunistisk — dersom begge ender støtter
dette, og sender ber om det —vil en dedikert angriper, med mulighet til å
manipulere nettverkstrafikken for spesifikke forbindelser, kunne påvirke
oppsettet av forbindelsen slik at kryptering ikke benyttes.
Obligatorisk bruk av STARTTLS, med et oppsett hvor offentlige virksomheter
konfigurerer sine e-posttjenester til tvungen bruk av TLS, hvor meldingen ikke
sendes dersom kryptert forbindelse ikke kan opprettes, vil ha styrket vern mot
slike avanserte man-in-the-middle-angrep. Et slikt alternativ kan ikke anbefales
uten nærmere utredning av kostnader og andre konsekvenser.
Bruk av STARTTLS vil ikke gi en endelig løsning på utfordringene med
sikkerhet i e-post, og det arbeides med løsninger for bedre og sikrere
meldingsutveksling i offentlig sektor. STARTTLS kan imidlertid bidra til noe
sikrere e-post. Det er allerede i utstrakt bruk i offentlig sektor, og det er lav
terskel for å ta det i bruk.
6.2
Konklusjon
STARTTLS vil ikke kunne gi en endelig løsning på utfordringene med
sikkerhet i e-post. Det benyttes likevel allerede av mange virksomheter i
offentlig sektor, og økt bruk vil gi bedret sikkerhet på de områdene hvor
STARTTLS kan bidra. Dette er en type standard som det er egnet å anbefale
bruken av.
Seksjon for informasjonssikkerhet i Difi anbefaler alternativ 1, som innebærer
at rfc 3207 tas inn Referansekatalogen som en anbefalt standard.
7
Referanser
IETF rfc 3207 - SMTP Service Extension for Secure SMTP over Transport
Layer Security http://tools.ietf.org/html/rfc3207
IETF rfc 821 Simple Mail Transfer Protocol http://tools.ietf.org/html/rfc821
IETF rfc 5322 – Internet Message Format http://tools.ietf.org/html/rfc5322
Starttls.info - e-posttjenerstatistikk https://starttls.info/stats
Google – Email encryption in transit
https://www.google.com/transparencyreport/saferemail/
Facebook – The current state of SMTP STARTTLS deployment
https://www.facebook.com/notes/protect-the-graph/the-current-state-of-smtpstarttls-deployment/1453015901605223
Nasjonal sikkerhetsmyndighet – Kryptering av e-postoverføring
https://www.nsm.stat.no/globalassets/dokumenter/veiledninger/systemteknisksikkerhet/u-02-grunnleggende-tiltak-for-sikring-av-e-post.pdf
Difi – Rapport 2013:13 «Meldingsutveksling internt i forvaltningen»
https://www.difi.no/rapport/2013/11/meldingsutveksling-internt-i-forvaltningen
Difi – Rapport 2015:3 «Løsning for meldingsutveksling i offentlig sektor»
https://www.difi.no/rapport/2015/03/losning-meldingsutveksling-i-offentligsektor