Sollte man PGP und S/MIME wirklich abschalten - oder ist dies kontraproduktive Panikmache?

  • Ich hatte das auch vor ein paar Minuten gelesen. Letztlich wäre halt interessant und entscheidend, was genau die Bedrohung dabei verursachen soll. Geht es um das automatische Entschlüsseln? Wird einem da potentiell etwas untergeschoben, was dann Daten kompromittiert? Warum sonst sollte der komplette Verzicht zur Zeit besser sein... ich bin gespannt.

    Gruß
    Thunder


    Keine Forenhilfe per Konversation! - Danke für Euer Engagement und Eure Geduld!

  • Wenn ich das Problem richtig verstehe, ist die Verschlüsselung selbst also überhaupt nicht ausgehebelt. Die Automatismen der beteiligten Softwares sind wohl das Problem wodurch dann die eigentlich korrekt entschlüsselten Mails an Dritte Personen versendet werden.


    1. Maßnahme:

    HTML-Modus im Programm deaktivieren - und zwar jeder, der S/MIME und/oder PGP verwendet.

    Gruß
    Thunder


    Keine Forenhilfe per Konversation! - Danke für Euer Engagement und Eure Geduld!

  • Hallo Thunder,


    HTML-Modus im Programm deaktivieren - und zwar jeder, der S/MIME und/oder PGP verwendet.


    da trägst Du natürlich bei mir Eulen nach Athen. :)


    Das Problem ist halt leider, dass manche Mail-Programme (insbesondere die für die Schlaufernsprecher und Wischrechner, also die für Android und iOS) gar kein Reintext mehr zur Verfügung stellen bzw. es umzustellen ohne Klimmzüge nicht geht. :(


    Gruß

    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Wenn ich das Problem richtig verstehe, ist die Verschlüsselung selbst also überhaupt nicht ausgehebelt


    Das ist richtig. Die Kryptographie wurde nicht gebrochen. Der Artikel aus der SZ ist auf dem Niveau der Boulevardpresse geschrieben und noch schlechter als der zuvor genannte von Golem.


    Bessere und sachliche Informationen findet man bei den Forschern selbst unter https://efail.de/#is-my (ausführlich in Englisch) oder in Kurzform beim BSI: https://www.bsi.bund.de/DE/Pre…wachstellen_15052018.html


    Dort liest man:

    Zitat


    Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.

    Als Hinweis, um das individuelle Gefahrenpotential einmal abschätzen zu können, kann man bei efail nachlesen, wie der Angriff funktioniert: Der Angreifer manipuliert eine verschlüsselte E-Mail derart, dass der Client, nachdem er die Mail entschlüsselt hat, deren Inhalt automatisch an den Angreifer sendet.

    Damit das möglich ist, muss der Angreifer

    Zitat

    Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte.


    Da man als Absender keine Kontrolle darüber hat , wie ein Empfänger sein E-Mail-Programm konfiguriert hat, und weil das alles unbemerkt auf einem sauberen System geschehen kann, ist das gewiss eine schwerwiegende Lücke, zumindest für wirklich geheime Mitteilungen. Sie hat jedoch nichts mit der Kryptographie zu tun.

    Man sollte bei alledem auch nicht vergessen: Als Absender hat man sowieso keine Kontrolle darüber, ob nicht fremde Personen Zugriff auf den Rechner haben, ob der Rechner nicht bereits mit einen Trojaner infiziert ist oder es morgen wird und so weiter.


    Nach meinem Eindruck wird in der Presse gerade ziemlich übertrieben aufgetragen. Viele der Journalisten scheinen die Thematik gar nicht zu verstehen sondern schreiben blind von anderen ab.

    Das ist schade, denn für breite Masse der Privatanwender dürfte diese Sicherheitslücke kaum von Belang sein. Aber gerade die breite Masse wird so vielleicht erst recht davon abgehalten, Mails zu verschlüsseln.

    Erwähnenswert ist vielleicht noch, dass GnuPG bereits seit vielen Jahren einen Schutz vor der Tranportattacke anbietet. Den müssten die Clients nur nutzen. Dazu Werner Koch:




    Auch hierzu die Quelle: https://lists.gnupg.org/piperm…sers/2018-May/060315.html
    Es gibt auch ein offizielles Statement des GnuPG-Teams: https://lists.gnupg.org/piperm…sers/2018-May/060334.html


    Noch eine Ergänzung: Gerade is auf Heise zu lesen, dass Enigmail ab der Version 2.0 nicht betroffen ist. Gleiches gilt demnach für das aktuelle K-9 unter Android.

    https://www.heise.de/newsticke…-verschicken-4048988.html

    Einmal editiert, zuletzt von Solaris ()

  • N'Abend!


    Mein lieber Solaris , ich danke Dir für diesen ausführlichen und differenzierten Beitrag!

    Gruß
    Thunder


    Keine Forenhilfe per Konversation! - Danke für Euer Engagement und Eure Geduld!

  • Thunder

    Hat den Titel des Themas von „PGP und S/MIME abschalten“ zu „Sollte man PGP und S/MIME wirklich abschalten - oder ist dies kontraproduktive Panikmache?“ geändert.
  • Hallo Thunder ,


    ja, mein letzter aktiver Besuch hier liegt schon eine Weile zurück. Aber du siehst, zumindest dem Thunderbird und meiner Frau habe ich die Treue gehalten. :)

  • Ersteres ist manchmal erstaunlich und Letzteres ist empfehlenswert :mrgreen: .

    Gruß
    Thunder


    Keine Forenhilfe per Konversation! - Danke für Euer Engagement und Eure Geduld!

  • Danke für den Link graba, den kannte ich noch nicht.


    Ich lese mich kreuz und quer durchs Netz zu dem Thema seit 2 Tagen. Die Berichterstattung ist überwiegend konfus, schon die Beschreibungen (PGP geknackt o.ä.) sind meist falsch und die Ratschläge sind - meiner Meinung nach - häufig unnütz bis falsch. Abschalten von Verschlüsselung ist m.E. ein recht unsinniger Vorschlag - weil unter bestimmten Umständen jemand Briefumschläge öffnet, soll man nur noch Postkarten schreiben?

    Sie meinen wohl das Richtige (Verschlüsselung nicht ohne Prüfung der Mailclienteinstellungen nutzen - auch beim Empfänger!), aber mangels technischem Verständnis schreiben die Autoren i.d.R. Quark.


    Man sollte wohl eher mit seinen Mailpartnern reden - wenn der Absender HTML deaktiviert, ist das schön, aber der Empfänger muss das auch und vor allem automatisches Nachladen deaktivieren. Oder man verschlüsselt Daten separat und schickt diese dann als Anhang mit, auch das umgeht das aktuelle Problem allem Anschein nach.


    Alles in allem scheint es mir ein ernstes Problem zu sein, was "dank" zu wenig Verschlüsselung aber nur Wenige betrifft; die Berichterstattung ist oft unsachlich bis falsch, zerschlägt viel Porzellan und schafft mehr Verunsicherung als Aufklärung und Hilfe.


    Hier und da wird sogar gemutmaßt, dass die Berichterstattung gezielt beeinflusst oder gesteuert wird, um Verschlüsselung an sich in Verruf zu bringen; auch wenn ich die Gründe für derartige Überlegungen nachvollziehen kann, so glaube ich doch nicht daran.


    MfG

    Drachen

  • Die Berichterstattung ist überwiegend konfus

    Das ist der Stand von vor zwei Tagen. Inzwischen hat das sehr beruhigt. Die Meldungen sind seriöser und qualitativ besser geworden. Der (Ruf-) Schaden ist aber leider bereits entstanden.


    Auch Heise war in der Eile auf den Panikzug gesprungen und hat das inzwischen erkennen müssen.


    https://www.heise.de/newsticke…t-ein-EFFail-4050153.html


    Die Schuld an der schlechten bis falschen Berichterstattung nun in erster Linie der EFF und den Forschern selbst zuzuweisen, erscheint mir ein wenig zu einfach. Die Medien, Heise eingeschlossen, hätten ja zunächst selbst etwas genauer recherchieren können. Stattdessen haben sie, wohl aus Sorge zu spät zu kommen, alle miteinander unsachlich und teilweise falsch berichtet.


    Bei tiefergehendem Interesse, hier gibt es das vollständige Paper der Forscher: https://efail.de/efail-attack-paper.pdf


    Wichtig ist meiner Meinung nach, dass man zunächst klar nach PGP und S/MIME unterscheidet. Wie oben erwähnt ist man mit Enigmail 2 + deaktivierten aktiven Inhalte nach derzeitigem Stand weitgehend sicher. Für S/MIME gilt das nicht!


    Bei aller Aufregung sollte man sich bewusst machen, ob die Lücke für einen persönlich überhaupt relevant ist. Die Warnungen gelten vorrangig für Menschen in Überwachungsstaaten und für diejenigen, die mit wirklich geheimen Nachrichten umgehen. Mit solchen, an denen Dritte ein so ernsthaftes Interesse haben, dass sie sich Zugriff auf den Transportweg der Mail oder den Rechner des Empfängers verschaffen.

    Die Allgemeinheit wird wohl kaum das Ziel eines solchen Angriff werden. Und selbst falls doch, dann liest schlimmstenfalls jemand eine Nachricht, die er in unverschlüsselter Form sowieso hätte lesen können.


    laut WF versucht das BSI wohl gerade, etwas Ruhe in die Diskussion zu bringen

    Das BSI hat sich bereits gestern sachlich geäußerst. Siehe oben. Die sind von Beginn an nicht auf den Zug gesprungen.

  • Enigmail ist nun in Version 2.0.4 erhältlich. Es unterstützt jetzt den in Beitrag #6 erwähnten Modification Detection Code (MDC). https://sourceforge.net/p/enig…announce/thread/db05a753/


    Außerdem sehe ich gerade, dass Thunder im Nachrichtenbereich eine Zusammenfassung unter dem Titel EFail und Thunderbird - nicht auf S/MIME oder PGP verzichten! geschrieben hat. Lesenswert, weil sachlich und unaufgeregt.

  • Also ich verschlüssle nicht, schon weil, wenn ich mal was per eMail sende nur Langweiliges ist und sende wenig bekomme aber viel, ich versende nichts wichtiges per eMail, das meiste ist Bewerbungen.

    UND gerade in Überwachungsländern Fällt es den schnell auf wenn wer Verschlüsselt. ^^


    Heise ach die machen ja nur noch Panik Geblubbel, hatte mal ein ABO davon, jetzt kaufe ich nur noch die AntiViren DVD von denen. ;-)

    Windows 10 Enterprise 1803 17134.137 x64 rtm, Firefox 63a1x64,ThunderBird 63a1x64, MS Office 365 Personal abo 2016 x64.


    Es Grüßt ein Glücklicher NUR noch 64bit Kompatibler EynSirMarc.

  • Also ich verschlüssle nicht, schon weil, wenn ich mal was per eMail sende nur Langweiliges ist und sende wenig bekomme aber viel, ich versende nichts wichtiges per eMail, das meiste ist Bewerbungen.

    UND gerade in Überwachungsländern Fällt es den schnell auf wenn wer Verschlüsselt. ^^

    Und damit hast Du das beste Argument für das Verschlüsseln geliefert: Verschlüsselst Du nur Wichtiges, ist das Verschlüsseln schon eine Information an sich.


    Gruß

    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 64 Bit | Thunderbird 32 Bit | Firefox 64 | Avira Free Security Suite

  • Hö ne ich sende ja nichts per email wo wichtig ist, das gebe ich von Hand ab. :-)

    Wie ich auch Bankaufgaben bei der Bank selber erledige.

    Ich liebe die Digitale welt aber alles wo wichtig ist wird analog erledigt. ^^

    Windows 10 Enterprise 1803 17134.137 x64 rtm, Firefox 63a1x64,ThunderBird 63a1x64, MS Office 365 Personal abo 2016 x64.


    Es Grüßt ein Glücklicher NUR noch 64bit Kompatibler EynSirMarc.