Ska vanliga användare, i de flesta fall helt ovetandes, behöva stå för sina mejl i evinnerliga tider? Det tycker inte forskaren Matthew Green vid Johns Hopkins-universitetet i USA. Green skjuter in sig på säkerhetsprotokollet Domain Keys Identified Mail (DKIM) som används för att verifiera avsändande domän, men i förlängningen även den enskilde avsändaren.

DKIM är bra på många sätt och vis, protokollet är ett viktigt vapen mot nätfiske eftersom mottagaren av ett mejl kan verifiera att avsändaren är korrekt och inte fejk. DKIM är också ett verktyg som kan verifiera äktheten för e-post och är anledningen till att nyhetsmedier kan publicera avslöjanden baserat på läckt mejlkonversation. DKIM gör att avsändaren inte kan förneka att hen skickat mejlet, skriver The Register.

Ingen rätt att bli glömd

Å andra sidan, menar Matthew Green, placeras en DKIM-signatur i varje mejl från de stora tjänsterna som Gmail, Office 365 och så vidare, i varje användares mejl – något de flesta inte har en aning om. Detta menar Matthew Green är problematiskt, i vart fall så länge användaren är ovetandes och inte valt att tillämpa funktionen frivilligt. Någon rätt att bli glömd gäller inte e-post för dem som använder till exempel Gmail eller Office 365.

Matthew Green har dock en möjlig lösning. Han föreslår att exempelvis Google periodiskt byter DKIM-nyckel och publicerar förbrukade nycklar. En publicerad nyckel eliminerar helt enkelt möjligheten till säker verifiering eftersom vem som helst kan använda nyckeln. Fortfarande kan alla mejl signerade med den nuvarande nyckeln, som förstås är hemlig, verifiera avsändaren.

Om Green fått någon respons av Google framgår inte i skrivande stund, men som av en händelse har Green, tillsammans med kollegorna Michael A Specter och Sunoo Park, Utvecklat ett alternativ till DKIM, nämligen kryptografiska signaturer som automatiskt blir möjliga att förfalska efter en viss tid.

Läs också:
Så maximerar du säkerheten för din e-post med DANE
Bara en av tio svenska myndigheter använder säker e-post