Hillary Clintons e-postsystem var usikkert i to måneder

Det private e-postsystemet som ble brukt av Hillary Clinton da hun var USAs utenriksminister, ikke krypterte meldinger i løpet av de to første månedene av bruk, sa et Internett-sikkerhetsselskap onsdag.

Det ville ha etterlatt e-postmeldinger sendt og mottatt av Clinton tidlig i 2009 sårbart for avlytende- akkurat da britiske og amerikanske etterretningstjenester ble spionert på verdensledere.

Internett-poster viser clintonemail.com-domenet først registrert 13. januar 2009. Clinton ble statsminister otte dager senere, men det var ikke før 29. mars at det første SSL-sertifikatet ble utstedt for domenet, ifølge Venafi, et sikkerhetsselskap som analyserer krypteringsnøkler og digitale sertifikater.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows PC]

SSL-sertifikatet er nødvendig for å kryptere tilkoblinger fra smarttelefoner og datamaskiner som får tilgang til Microsoft IIS-serveren og dets Outlook-system. Uten den sikkerheten vil dataene flyte over Internett i vanlig tekst.

Rundt den tiden var britiske og amerikanske spionbyråer tilsynelatende avlytting på verdensledere. På G20-toppmøtet i april 2009 opprettet de falske internettkafeer i håp om at regjeringens ministre og deres ansatte ville koble til Internett-hotspots, slik at byråene kunne trykke på ukryptert eller dårlig kryptert kommunikasjon.

I løpet av de første månedene i kontoret til sertifikatet ble oppnådd, reiste Clinton til Japan, Indonesia, Sør-Korea, Kina, Egypt, Israel, Palestina, Belgia, Sveits, Tyrkia og Mexico.

Det var mulig at Clinton ikke brukte e-postsystemet før sertifikatet hadde vært oppnådd, men Kevin Bocek [cq], visepresident for sikkerhetsstrategi og trussel intelligens i Venafi, sier han mener det er lite sannsynlig. På grunn av tidspunktet for registreringen av domenenavnet og hennes forbannelse, sa Bocek at det ble utarbeidet systemet for at hun skulle bruke så snart hun tok på seg kontoret.

Statsdepartementet kunne ikke umiddelbart bekrefte datoen for Den første e-posten som ble sendt via systemet.

SSL-sertifikatet fra 2009 ble oppnådd av Justin Cooper, som antagelig er den tidligere assistenten til president Clinton som har samme navn. Det var gyldig i fire år og har siden blitt fornyet med et femårig sertifikat - lenge for et slikt sertifikat.

"De fleste sikkerhetsprofessorer vil ikke anbefale det," sa Bocek. "Google bruker tre måneders sertifikater."

Sertifikatet brukte en 2,048 byte-nøkkel, som er en standardstyrke, selv om serveren ikke bruker "perfekt fremoverhemmelighet," sa Bocek. Det som sikrer at e-postadresser ikke kan nås, bør en privat nøkkel bli stjålet, og er en anbefalt innstilling i dagens sikkerhetsbevisste miljø.

Statsdepartementet har sagt at Clinton ikke sendte eller mottok klassifisert informasjon via hennes private e-postkonto. Selv departementets tjenestemenn bruker ikke deres state.gov-adresser for klassifisert materiale, som sendes over et eget nettverk, men det betyr ikke at Clinton ikke sendte eller mottok hva den amerikanske regjeringen kaller "sensitiv men uklassifisert" informasjon.

Arrangementet, mens det virker uvanlig, var og er akseptabelt og lovlig, ifølge statsdepartementet. Den eneste forpliktelsen Clinton var under, var å bevare e-postadressene, slik at de kunne bli en del av regjeringens offisielle rekord.

Hun endret 55.000 trykte sider med e-post til statsdepartementet som svar på en forespørsel til henne og andre tidligere statssekretærer flere måneder siden. Av de andre, sa Condoleezza Rice at hun aldri brukte en personlig e-postkonto, sa Madeleine Albright at hun ikke brukte e-post, og Colin Powell sa at han også brukte en personlig e-postkonto, men han tok ikke e-postene med seg når han dro av kontoret og kontoen er stengt i flere år.

Etter å ha lest sine første kommentarer til kontroversen på tirsdag, sa Clinton: "Ser tilbake, ville det vært bedre at jeg bare brukte en annen e-postkonto og hadde en andre telefon, men på det tidspunktet virket det ikke noe problem."

Hun la til at hennes e-postserver ikke hadde blitt brutt i noen angrep.