Rigspolitiet har fået rap over nallerne for at bruge TLS. Men er TLS da ikke godt nok?

I kølvandet på en kritik af Rigspolitiet for usikker selvbetjeningsløsning, slår Datatilsynet et slag for kravene til TLS.

For nylig havde Datatilsynet brug for en våbentilladelse. Eller … i hvert fald gennemgik Datatilsynet Rigspolitiets selvbetjeningsløsning til ansøgning om våbentilladelse. Og det gav anledning til kritik. Ikke på grund af et afslag, men fordi løsningen ikke levede op til GDPR.

Undervejs skal brugeren nemlig blandt andet indtaste sit CPR-nummer. Det stiller som bekendt krav til datasikkerheden, og derfor er det Rigspolitiets ansvar – som databehandler – at sikre, at disse informationer krypteres tilstrækkeligt.

For gammel version

Når ansøgerens informationer blev transporteret fra hjemmesidens selvbetjeningsportal til Rigspolitiets egne databaser, blev de krypteret med TLS. Det lever jo UMIDDELBART op til Datatilsynets retningslinjer, men problemet var, at der blev anvendt en gammel version af TLS.

VIGTIGT: Datatilsynet godkender kun TLS version 1.2 til kryptering af følsomme personoplysninger. Som de selv udtrykker det:

Det er endvidere Datatilsynets opfattelse, at TLS version 1.0 og 1.1 indeholder kendte sårbarheder, der ikke sikrer den fornødne fortrolighed og integritet af de oplysninger, der udveksles.

Datatilsynet, pressemeddelelse 14. april 2021

Hvad gør RMail?

RMail tilbyder både TLS-kryptering (kun 1.2) og end-to-end-kryptering. I langt de fleste tilfælde vil en TLS-kryptering være tilstrækkelig, og der er god grund til at benytte denne metode, når man kan, for det er klart det mest bekvemme for modtageren.

Men hvis ikke modtageren understøtter TLS 1.2, så har man et problem. Det løser RMail på en ret elegant måde:

Når man indstiller RMail til at kryptere med TLS, så tjekker RMail automatisk, om HELE e-mailens rejse fra afsender til modtager kan ske på servere sikret med TLS 1.2. Kan den ikke det, laver RMail – også automatisk – et fallback, hvor e-mail og eventuelle vedhæftninger pakkes og krypteres i en PDF-fil. Denne pakke lander også i modtagerens indbakke, men skal åbnes med et kodeord, der er autogenereret og fremsendt i separat e-mail.

Enklere for afsender og modtager kan det ikke gøres.

Læs mere om RMails bud på krypteret mail.

Datatilsynet tegner og fortæller …

I videoen nedenfor forklarer Datatilsynets Allan Frank meget pædagogisk, hvordan TLS virker, og hvorfor Datatilsynet stiller krav til, hvilken version I anvender.

Om samme emne
sikker mail datatilsynet
Kryptering

Hvad er en sikker mail?

Her svarer vi på alle de mest almindelige spørgsmål om sikker mail, og hvordan man sender og modtager. Også hvis man bruger Outlook eller Gmail.

Gratis mail-kryptering frem til 31. december

Vi er mange, der – igen – er tvunget til at løse vores arbejdsopgaver hjemmefra, og der kan blive brug for at digitalisere (endnu) flere arbejdsgange. Derfor har Danastar sammen med Frama og RPost, der står bag RMail besluttet, at nye brugere kan anvende vores produkter gratis indtil 31. december.