Forscher knacken E-Mail-Verschlüsselung

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support
  • Dinge die ich alles nicht behauptet habe:

    • Es gibt Clients, die diese Lücke nicht haben.
    • Wenn der Client PGP richtig implementiert (bzw. also bei Authentifzierungsfehlern eben nix entschlüsselst), ist die Sicherheitslücke gefixt. (Hinweis: Wenn es nicht so wäre, könnten Mailclients das Problem auch nicht so leicht fixen.)


    Dinge, die ich gesagt habe:

    • die Sicherheitslücke wurde in diesem Jahr gefunden.


    Dinge, die du mir zeigst:

    • die Clients, die betroffen sind + Datum des Kontaktes (Hinweis: Dieses Datum liegt nicht im Jahr 2000/2001.*)


    * Hinweis: Und wenn du behaupten möchtest das die NSA/whoever die Lücke vorher kannte. Ja, ist sicher möglich, nur weiß es keiner. Belegen kannst du es mir aber gerne, zeig mir einfach deinen NSA-Dienstausweis, dann glaube ich dir. :)


    Kurz gesagt: Gib mal einen Link für diese 2000/2001-Behauptung. Evt. bezieht du dich auch nur auf Privatsphärenprobleme bzgl. HTML-Mails, die gab es natürlich schon immer und die waren auch bekannt. Bekannt war übrigens natürlich auch schon, dass die Konstruktion den MDC – ein SHA-1-Hash als Authentifzierung – nicht mehr die allerneuste und super Krypto ist. Siehe dazu auch diesen Blog, der diesbezüglich in die Details geht.

  • :rolleyes: Ach ja, die Beweisführung wird hier im Threema-Forum.de als ausgesprochen wichtig erachtet.


    Ich habe mich tatsächlich geirrt, denn es liegt schon 18 bzw. 19 Jahre zurück.
    Das besagte Angriffsszenario ist bereits 1999 aufgefallen.
    Der Fix erfolgte im darauffolgenden Jahr, im Sommer 2000.



    Quelle: mailbox.org

    SAMSUNG Galaxy Tab A (2016) SM-T580 | Android 8.1.0 (M1AJQ.T580XXU4CSA1) | Kernel 3.18.14-15260192 | Knox 3.2 | Version 3.7.482 (Threema Shop)

  • Ich würde mailbox.org jetzt nicht unbedingt als neutral betrachten. Abgesehen davon wird der Status Quo in meinen Augen als zu harmlos dargestellt. Das Statement auf der Mailing-Liste ist mit Sicherheit nicht falsch, aber die Kritik an der API, sowie dessen Dokumentation, muss sich GnuPG durchaus gefallen lassen, genauso wie die Streaming-Problematik mit MDC bzgl. PGP im Allgemeinen. Das ist aber eben auch nicht alles, was Efail umfasst. Der Golem-Artikel "PGP/SMIME - Die wichtigsten Fakten zu Efail" fasst die Problematik meines Erachtens sehr schön zusammen.


    Darüber hinaus missfällt mir, dass die Forscher und Journalisten in einen Topf geworfen werden. Wer hier nach Publicity gelechzt hat, lässt sich schwerlich rekonstruieren. Es ist aber mit Sicherheit kein Grund, alle über einen Kamm zu scheren und damit einzelne Personen zu diskreditieren, von denen ich teils persönlich weiß, dass sie lange und ausgiebig daran gearbeitet haben.

  • Ah, na also ein Missverständnis:


    Also seit 2000 oder so ist das Problem bekannt, dass die Krypto in PGP nicht mehr ganz up-to-date ist, weil nicht authentifziert. Das hat man dann gefixt, in dem man einen optionalen(!) MDC (so ein Authenitifizierungscode, der nur in PGP verwendet wird) hinzugefügt hat zum Protokoll. Der eigentliche Angriff, der auch diese fehlende verpflichtende Verschlüsselung bzw. Probleme in dem Handling eben dieser durch Mail-Clients + das ganze mit HTML/PDF/andere Kanäle, ausnutzt, ist natürlich erst seit 2018 bekannt.