Google, Microsoft och Yahoo har åtgärdat problem i krypteringen av e-postsystem, som gör det möjligt för hackare att skapa falska medddelanden som utnyttjar svagheter i säkerhetssystemens algoritmer. Svagheterna påverkar DKIM, Domain Keys Identified Mail, ett säkerhetssystem som används av de flesta större e-postleverantörer.

DKIM lägger in krypterade signaturer i ett e-postmeddelande som verifierar domännamnet från vilket meddelandet skickas. Därmed är det möjligt att filtrera bort så kallad spoofing, där förfalskade avsändare maskerar skadlig kod och får e-posten att se ut som om den kommer från en legitim avsändare.

Enligt information från säkerhetsorganisationen US-CERT i onsdags, beror problemet på korta krypteringsnycklar, som är på mindre än 1 024 bitar. I praktiken påverkar det krypteringsnycklar upp till nivån RSA-768.

Frågan kom upp i rampljuset efter att den Florida-baserade matematikern Zachary Harris fick ett e-postmeddelande från en rekryterare på Google, som bara använde 512-bitars kryptering, enligt tidningen Wired. Harris testade använde krypteringsnyckeln för att skicka falska meddelanden mellan Googles två grundare, Sergey Brin och Larry Page.

Men det visade sig att ett verkligt problem låg bakom mejlet, som medförde att falsk e-post kan märkas som verifierad. Enligt DKIM-standarden kan e-postmeddelenden med krypteringsnycklar som är kortare än 1 024 bitar i vissa fall passera genom säkerhetssystemen.

Därefter upptäckte Harris att problemet inte var begränsat till Google, utan även gällde Microsoft och Yahoo, som hade åtgärdat problemen snabbt efter att de blev kända, enligt US-CERT.

US-CERT varnar även för att DKIM-specifikationen gör det möjligt för en falsk sändare att flagga att den testar att skicka DKIM-baserade meddelanden. Risken finns att en mottagare accepterar sådana meddelanden, även i fall när de är falska och borde avfärdas.