Efail: Expertenstreit um Löcher bei verschlüsselten E-Mails

15. Mai 2018, 13:59
  • security
  • lücke
  • bsi
  • verschlüsselung
image

Die Aussage "PGP ist verwundbar" sei irreführend, so die gefühlte Mehrheit von Tweets und Kommentaren zu "Efail".

Die Aussage "PGP ist verwundbar" sei irreführend, so die gefühlte Mehrheit von Tweets und Kommentaren zu "Efail". So heisst eine Lücke, die gestern bekannt wurde und als PGP- und S/MIME-Lücke beschrieben die Gemüter erhitzt.
Ja, die Efail-Lücke sei wohl eine, aber es sei kein Angriff auf OpenPGP sondern betreffe nur User, welche lange bekannte Warnungen von GnuPG ignorierten, beziehungsweise betreffe nur buggy E-Mail-Clients. Wer PGP und den "Modification Detection Code" (MDC) korrekt einsetze, habe kein Problem.
Allerdings sind gar nicht alle Experten dieser Meinung und wiederum andere verweisen auf die Core-Architektur von PGP, welche veraltet sei und unsichere Settings zulasse.
Die Entwarner merken an, ein Angreifer benötige weitgehenden Zugriff, um verschlüsselte E-Mails in Plaintext umzuwandeln. Konkret heisst dies, um die Lücken auszunutzen, muss er Zugriff auf den Transportweg, den Mail-Server oder das E-Mail-Postfach des Empfängers haben.
Verschlüsselungsexperten sind sich nicht einig, was an der Efail-Publikation deutscher und belgischer Forscher übertrieben ist und was wirklich beunruhigend.
Eine Empfehlung lautet nun, man solle primär die Mailprogramme und Verschlüsselungs-Plug-ins aktualisieren. Oder, natürlich, HTML abschalten. Oder E-Mail-Server und E-Mail-Clients korrekt absichern. Hier wird in klarem Deutsch erklärt, wie man dies tut.
Das deutsche Bundesamt für Informationstechnik (BSI) nennt die Schwachstellen in einer Medienmitteilung "schwerwiegend". Und es ergänzt: "Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden."
Inzwischen arbeiten sich E-Mail-Anbieter, Verschlüsselungs-Experten wie vermutlich auch Hacker am Forschungspapier (PDF) ab. Dazu zählt auch der Schweizer Anbieter verschlüsselter Mails, Protonmail. Man erwarte eine unabhängige Bestätigung, dass die eigene Verschlüsselung sicher sei, so ein Tweet. (mag)

Loading

Mehr zum Thema

image

Cyberangriff: Bülach ist nicht auf Forderungen eingegangen

Die Stadt Bülach hat ausführlich über den Cyberangriff auf seine Verwaltung informiert. Auf Lösegeldforderungen sei man nicht eingegangen.

publiziert am 17.8.2022
image

Eine Zeroday-Lücke lebte bei Microsoft zwei Jahre unbehelligt

Microsoft anerkennt die Schwachstelle "Dogwalk" nach zwei Jahren als Gefahr und veröffentlicht einen Patch. Sie wird bereits ausgenutzt.

publiziert am 16.8.2022
image

Report: Githubs KI-Tool Copilot macht Code unsicherer

Das einst gross angekündigte Tool von Github schreibe eine Menge Lücken in Software, erklären Forscher aus den USA. Sie haben ihre Befunde an der Black-Hat-Konferenz präsentiert.

publiziert am 12.8.2022
image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022