Para peneliti di Münster University of Applied Sciences telah berhasil mendekripsi email terenkripsi. Hal ini menyebabkan kegemparan di dunia TI karena prosedur yang sebelumnya digunakan untuk melindungi surat elektronik dari pengintaian dianggap sangat aman.
S/Mime dan PGP, yang ironisnya bahkan mewakili “privasi yang cukup baik”, kebanyakan digunakan oleh perusahaan-perusahaan dan di bidang-bidang di mana komunikasi yang aman sangat penting, misalnya di kalangan jurnalis dan pelapor pelanggaran (whistleblower).
Namun, bahkan dengan metode baru, enkripsi tidak dapat dibobol sesuka hati, tetapi hanya dalam kondisi tertentu. S/Mime dan PGP bekerja sesuai dengan apa yang disebut prosedur kunci publik. Pengirim dan penerima memiliki kunci virtual yang berbeda: Pengirim mengenkripsi pesannya dengan kunci yang tersedia untuk umum namun bersertifikat. Ini mengubah apa yang sebenarnya merupakan pesan menjadi kumpulan data yang membingungkan. Peretas secara teoritis dapat mencegatnya, tetapi mereka tidak dapat mengembalikannya ke kondisi sebenarnya.
Ini memerlukan kunci pribadi, yang ada dalam program email penerima dan biasanya dilindungi dengan kata sandi. Secara teoritis, email terenkripsi dan mencuri kunci pribadi sudah bisa dicegat – tetapi ini sangat sulit.
Beginilah cara kerja metode baru ini
Metode yang digunakan oleh ilmuwan komputer Münster adalah sebagai berikut: Mereka mencegat pesan yang disandikan dan mengirimkannya secara tersembunyi di email baru ke penerima. Isi email baru sama sekali tidak relevan. Satu-satunya hal yang penting adalah teks yang disandikan entah bagaimana tersembunyi dari pandangan. Ini berfungsi jika penerima mengaktifkan HTML di kotak suratnya. Ini biasanya memungkinkan penerima untuk langsung mengeklik tautan di email atau melihat gambar.
Jika dia sekarang menerima email yang telah disiapkan, dia hanya akan melihat teks tidak relevan yang ditulis para peretas. Namun programnya juga membaca teks yang disandikan di latar belakang dan mendekripsinya dengan kunci pribadi. Karena HTML diaktifkan, peretas juga dapat memanipulasi email sehingga diteruskan langsung ke dekripsi, yaitu ke kotak surat peretas. Ini memberi Anda akses ke teks pesan sebenarnya yang tidak terenkripsi.
Nonaktifkan HTML melindungi terhadap serangan hacker
Metode ini menimbulkan kehebohan karena ini adalah pertama kalinya email terenkripsi dapat didekode tanpa mencuri kunci. Namun, contoh tersebut juga menunjukkan bahwa cukup mudah bagi mereka yang mungkin terkena dampak untuk melawan pencurian pesan. Jika Anda menonaktifkan HTML di program email Anda, Anda kehilangan kenyamanan – namun metode serangan peretas juga dimatikan.
Namun, kesenjangan keamanan kemungkinan akan segera ditutup oleh konsorsium di belakang S/Mime dan PGP. Secara teoritis, mereka hanya perlu mengesampingkan dekripsi otomatis pesan yang tidak terlihat oleh pengguna karena disembunyikan dalam kode HTML.