Forum: Netzwelt
Kritische Schwachstelle: Experten raten vorerst von E-Mail-Verschlüsselung ab
Getty Images

Eindringliche Warnung: Mehrere Sicherheitsexperten raten, fürs Erste keine E-Mails zu versenden oder zu öffnen, die mit der Software PGP, GPG oder S/MIME verschlüsselt worden sind. Hacker könnten mitlesen.

Seite 1 von 6
darksystem 14.05.2018, 11:27
1.

Es geht nur um die automatische Entschlüsselung im E-Mail-Client mittels der genannten Plug-Ins.

Da lokal entschlüsselt wird schätze ich dass Zugriff auf das lokale Dateisystem nötig ist um den Angriff durchzuführen. Und dann hat man ganz andere Sorgen als eine Lücke in Enigmail...

Jedenfalls würde ich von derlei Warnungen Abstand nehmen solange nicht klar ist wie groß der Aufwand für einen Angreifer wirklich ist und welche sonstigen Zugriffsrechte er zuvor bereits erlangt haben muss.

Beitrag melden Antworten / Zitieren
poldijungdrache 14.05.2018, 11:39
2. Etwas mehr Gehalt bitte

Aus 15 Minuten Ruhm für so einen Artikel hätte man auch mehr machen können...indem man vielleicht dem Ganzen etwas mehr Gehalt spendiert hätte - also im Zweifelsfall einfach mal mehr Infos holen, bevor man so einen halbgaren Artikel mit martialischer Überschrift veröffentlicht. Freue mich über den nächsten Artikel zum Thema.

Beitrag melden Antworten / Zitieren
ill-665 14.05.2018, 11:55
3. Sicherheit aus!

Das ist ja mal ein super Tipp der Experten: Zur Erhöhung der Sicherheit Ihrer E-Mail-Kommunikation schalten Sie doch bitte die Sicherheitsfeatures aus.
Dass es eine Sicherheitslücke gibt ist sicher wissenswert. Die Hersteller der Erweiterungen werden sicher auch zeitnah reagieren wollen. Den Benutzern aber gleich zu empfehlen, die Verschlüsselungswerkzeuge zu deaktivieren halte ich für übertrieben. Wer verschlüsselt kommuniziert tut das doch aus guten Grund. Sicher kann man auf andere Kanäle ausweichen. Dafür aber gleich die E-mails wieder unverschlüsselt zu versenden und auf die Hilfe der Plugins zu verzichten kann doch nicht der Weg sein.

Beitrag melden Antworten / Zitieren
ill-665 14.05.2018, 11:59
4. Sicherheit aus!

Das ist ja mal ein super Tipp der Experten: Zur Erhöhung der Sicherheit Ihrer E-Mail-Kommunikation schalten Sie doch bitte die Sicherheitsfeatures aus.
Dass es eine Sicherheitslücke gibt ist sicher wissenswert. Die Hersteller der Erweiterungen werden sicher auch zeitnah reagieren wollen. Den Benutzern aber gleich zu empfehlen, die Verschlüsselungswerkzeuge zu deaktivieren halte ich für übertrieben. Wer verschlüsselt kommuniziert tut das doch aus guten Grund. Sicher kann man auf andere Kanäle ausweichen. Dafür aber gleich die E-mails wieder unverschlüsselt zu versenden und auf die Hilfe der Plugins zu verzichten kann doch nicht der Weg sein. Das Mitlesen von E-Mail-Kommunikation ist an verschiedenen Stellen möglich. Die Verschlüsselungs-Plugins sind nur ein Glied in der Übertragungskette. Die Empfehlung, wegen eines Fehlers in diesem Glied gleich die gesamte Übertragung zu öffnen und Inhalte unverschlüsselt zu übertragen, halte ich für Verantwortungslos.

Beitrag melden Antworten / Zitieren
poldijungdrache 14.05.2018, 12:22
5.

Zitat von mueckter
Dass Programme, die einen Verschlüsselungs-Algorithmus verwenden, nicht sicher sind, leuchtet eigentlich ein, denn fast alle Verschlüsselungs-Systeme sind knackbar. Dass es auch anders geht, beweist ein Programm, welches einen ganz anderen Weg geht. Hier die Erklärung: https://www.message-encryptor.de/funktion/
...ersetzt in keinem Fall eine "ordentliche" S/MIME-Verschlüsselung

Beitrag melden Antworten / Zitieren
permissiveactionlink 14.05.2018, 12:32
6. Das steht doch da nirgendwo !

Es wird lediglich davon abgeraten, die Softwareerweiterungen zu nutzen, die eine sofortige automatische Decrytierung einleiten. Oder alternativ diese E-Mail-Software solange nicht zu nutzen, bis die Sicherheitslücke behoben ist. Da wird nirgendwo empfohlen, Klartexte zu verschicken ! Absolute Sicherheit bietet nur die Nutzung von Einmalschlüsseln. Diese ist in den heutigen Ende-zu-Ende-Verschlüsselungen bereits vorgesehen. Bei jedem Kontakt verwendet die Software einen neuen Zufallsschlüssel. Dieser wird dann dem Empfänger asymmetrisch verschlüsselt mitgeteilt, und mit ihm dann die eigentliche Nachricht Blockverschlüsselt (z.B. AES 256). Zugriffsgefahren bestehen heute bei guten Verschlüsselungsprogrammen nicht mehr auf dem Kommunikationsweg, sondern ausschließlich in den Endgeräten, die von Kriminellen oder staatlichen Akteuren gehackt werden können. Insider kämen niemals auf die höchst abwegige Idee, Geheimnisse auf Geräten zu ver/entschlüsseln, welche kontinuierlich mit dem Internet verbunden sind. Eine Schnapsidee !

Beitrag melden Antworten / Zitieren
juergen haecker 14.05.2018, 12:43
7. Diskussionsbeitrag oder Eigenwerbung?

Zitat von mueckter
Dass Programme, die einen Verschlüsselungs-Algorithmus verwenden, nicht sicher sind, leuchtet eigentlich ein, denn fast alle Verschlüsselungs-Systeme sind knackbar. Dass es auch anders geht, beweist ein Programm, welches einen ganz anderen Weg geht. Hier die Erklärung: https://www.message-encryptor.de/funktion/
Ist das ein Beitrag zum Thema oder der dreiste Versuch, Eigenwebung zu betreiben? Ich empfehle, das Impressum der zitierten Webseite zu lesen. Verantwortlich: Dieter Mückter

Beitrag melden Antworten / Zitieren
sikasuu 14.05.2018, 12:57
8. Ja, guter Tip! Da es möglich ist Schlößer zu knacken, lassen wir jetzt

Zitat von ill-665
Das ist ja mal ein super Tipp der Experten: Zur Erhöhung der Sicherheit Ihrer E-Mail-Kommunikation schalten Sie doch bitte die Sicherheitsfeatures aus. Dass es eine Sicherheitslücke gibt ist sicher wissenswert. Die Hersteller der Erweiterungen werden sicher auch zeitnah reagieren wollen. Den Benutzern aber gleich zu empfehlen, die Verschlüsselungswerkzeuge zu deaktivieren halte ich für übertrieben. Wer verschlüsselt kommuniziert tut das doch aus guten Grund. Sicher kann man auf andere Kanäle ausweichen. Dafür aber gleich die E-mails wieder unverschlüsselt zu versenden und auf die Hilfe der Plugins zu verzichten kann doch nicht der Weg sein.
... unsere Türen weit offen stehen?
.
Ähm, wer hat den diese "Nachricht" verfasst? Ist der NSA das kancken von PGP usw. über den Kopf gewachsen?
.
Klar können auch die gängigen Plug-Ins von PGP usw. eine Lücke haben, ich Software & die gib es nicht fehlerfrei, doch bin ich mir sicher, das diese Lücke recht schnell gefixt wird.
.
Diese Software wird ja nicht in Ŕedmonth gepflegt sondern als open source von der Nutzer-&Entwicklergemeinde :-)
.
Komischer "Sicherheitshinweis" klingt wie "Propaganda einer Firma die gezielt Unsicherheit&Misstrauen verbreiten will:-(
.

Beitrag melden Antworten / Zitieren
kdigihg396 14.05.2018, 13:02
9. Gefährlicher Unsinn

Herr Mückter, also erstens ist das von Ihnen beworbene Programm (das Sie auch noch selbst verantworten - also ist das auch noch reine Werbung) nichts Anderes als eine Cäsar-Verschlüsselung. Das ist keinen Deut sicherer als andere Algorithmen, im Gegenteil, es ist ein hochgradig simpler Algorithmus und ziemlich sicher über Seitenkanäle angreifbar. Und wenn die Schlüsselliste bekannt wird, ist die Sicherheit ebenfalls dahin - also auch nicht besser als bei PGP oder S/MIME. (https://de.wikipedia.org/wiki/Caesar-Verschlüsselung)
Und zweitens, wie hoch glauben Sie, schätze ich die kryptografische Kompetenz eines Hundefutter-Herstellers ein (https://lobo-pro.de/)?

Merken Sie selbst, oder?

Beitrag melden Antworten / Zitieren
Seite 1 von 6