Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
89https://www.sueddeutsche.de/digital/exklus…icher-1.3978608
Lohnt sich die Verschlüsselung überhaupt? Weiß jemand etwas Aktuelles, ob dies immer noch möglich ist?
Lohnt sich die Verschlüsselung überhaupt?
Auf diesen über 3 Jahre alten Artikel gibt es damals einige lesenswerte Reaktionen:
Eine Zusammenfassung der Erkenntnisse aus den o. g. Links:[box]
Der Angriff der Forscher basiert auf zwei Bedingungen: Erstens, sie besitzen den Ciphertext. Zweitens, im E-Mail-Programm wird HTML erlaubt.[/box]
[box]
Betroffen von dem Angriff sind alle Gesprächsteilnehmer. Es reicht also nicht, wenn man selbst das aktuellste System installiert hat. Man muss darauf vertrauen, dass auch der Gesprächspartner auf dem aktuellsten Stand ist, falls dieser denn existiert.[/box]
[box]
Was nicht stimmt: Dass die Verschlüsselungs-Algorithmen nicht mehr funktionieren.
Was stimmt: Dass es für einen Angreifer möglich ist, durch bestimmte Tricks eine verschlüsselte E-Mail nachträglich im Klartext zu lesen. Allerdings nur unter sehr speziellen Umständen, die die Forscher auch detailliert erklären.[/box]
[box]
Zum Beispiel ist beim Verschlüsselungs-Verfahren PGP nicht vorgeschrieben, ob eine manipulierte E-Mail trotzdem geladen oder automatisch verweigert werden soll.
Und das Verschlüsselungs-Verfahren S/MIME kann nicht einmal zuverlässig erkennen, ob eine E-Mail manipuliert wurde.[/box]
[box]
Die als Efail bekannt gewordene Schwachstelle betrifft dabei die meisten gängigen Mail-Programme, die HTML-E-Mails empfangen und darstellen können wenigstens in Teilen.[/box]
[box]
Laut der Veröffentlichungen der Efail-Entdecker ist S/MIME weitaus angeschlagener als PGP. Eigentlich sind alle von ihnen getesteten Programme, die HTML und S/MIME unterstützen, betroffen.[/box]
[box]
Am sichersten ist es, verschlüsselte Mails nicht im Mail-Client zu entschlüsseln.
Wer seine Mails trotzdem im Mailprogramm entschlüsseln will oder muss, der schaltet am besten den Empfang von HTML-Mails ab und lässt alle Nachrichten als Plaintext darstellen.[/box]
[box]
Auch die meisten Web-Apps scheinen sicher zu sein. Eine Ausnahme bildet Gmail mit S/MIME und auch der Mailer Horde ist für GPG-Angriffe und, falls der Nutzer mithilft, für die S/MIME-Schwachstellen verwundbar.[/box]
Und da wir hier bei Thunderbird sind - auch die gegenwärtige Implementierung von OpenGPG bzw. RNP hat ihre Schwächen, die beseitigt werden sollten:
Zum Beispiel ist beim Verschlüsselungs-Verfahren PGP nicht vorgeschrieben, ob eine manipulierte E-Mail trotzdem geladen oder automatisch verweigert werden soll.
Das gilt so längst nicht mehr. Du hast es ja vor ein paar Tagen selbst erfahren dürfen. Als Reaktion auf EFail entschlüsselt Enigmail E-Mails ohne MDC seitdem erst gar nicht.
Beim integrierten OpenPGP weiß ich es nicht sicher. Jedoch scheint ja gerade dein kürzlich geschildertes Problem mit den alten Mails zu bestätigen, dass ohne MDC nicht entschlüsselt wird.
