Skip to content

Drucksache: Entwickler Magazin 6.18: EFAIL - Angriff auf verschlüsselte Mails

Im Entwickler Magazin 6.18 ist ein Artikel über die EFAIL-Angriffe auf die E-Mail-Verschlüsselung erschienen: Wie funktioniert EFAIL und wie schlimm ist das alles wirklich?

Der war auch der Auslöser für die drei Artikel zu den Mailformaten in den vergangenen drei Wochen.

Update 15.10.18:
Wie die E-Mail-Verschlüsselung allgemein funktioniert erfahren Sie im ersten Teil dieses zweiteiligen Artikels, und den gibt es jetzt online auf entwickler.de!
Ende des Updates

Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann sie lesen. Weshalb man eigentlich nur verschlüsselte Mails verschicken sollte, die dieses unbefugte Lesen verhindern. Über die EFAIL-Angriffe kann die Verschlüsselung ausgehebelt werden. Ist das wirklich die große Katastrophe, als die es dargestellt wird?

Erst mal: Die Veröffentlichungstaktik der Forscher war völlig daneben. Sie war viel zu reißerisch und außerdem teilweise falsch, was dann in den Medien schnell zu einer Katastrophe aufgebauscht wurde. Seit einiger Zeit kommen Schwachstellen und Angriffe ja allem Anschein nach leider nicht mehr ohne schönen Namen, passenden Logo und reißerischen Marketing samt Panikmache aus. Aber damit schadet man der Sicherheit. Vielleicht sollten die Forscher sich mal daran erinnern, dass man jemanden, der immer wieder laut „Feuer Feuer“ schreit, obwohl es gar nicht wirklich brennt, nicht mehr ernst nimmt, wenn es wirklich mal brennt. Und in diesem Fall ist dieser „jemand“ dann leider die Gesamtheit aller Sicherheitsforscher. Wenn immer wieder ein Hype um Schwachstellen gemacht wird, die sich letztendlich als weit weniger gefährlich heraus stellen als angekündigt, nimmt irgendwann niemand solche Warnungen mehr ernst.

Was die Schwachstellen betrifft, da haben die GnuPG-Entwickler recht: Das Problem der Gadget-Angriffe ist seit 1999 bekannt, seit 2000 gibt es für GnuPG eine Lösung. So weit, so gut. Und gleichzeitig schlecht: Wieso ist die noch nicht obligatorisch? Wieso werden nicht integritätsgeschützte und sogar eindeutig manipulierte Daten immer noch ausgegeben und nicht verworfen?

Ein Grund ist die Rückwärtskompatibilität und im Fall von OpenPGP vor allem auch dessen Nutzung zum Integritätsschutz von Softwarepaketen, der inzwischen viel wichtiger als die E-Mail-Verschlüsselung ist.

Und damit kommen wir zu einem generellen Problem der E-Mail-Verschlüsselung (außer dass sie zu kompliziert ist und deshalb kaum genutzt wird): Sie basiert teilweise auf uralten Konzepten und verwendet teilweise längst als unsicher bekannte Algorithmen und Schlüssellängen. Und die wird man allem Anschein nach nicht so einfach los.

Wir brauchen eine sichere, einfach zu bedienende E-Mail-Verschlüsselung. Und so wie es aussieht hilft da nur noch eine Neuentwicklung. Aber die ist nicht in Sicht.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Drucksache

Trackbacks

Keine Trackbacks