Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Forscher knacken E-Mail-Verschlüsselung
#16
Nichts ist wirklich "sicher" im Internet. Man kann eben nur versuchen, mit einem _vernünftigen_ Zeit-Aufwand-Invest, seine Privatsphäre zu schützen. Meine Meinung.
Zitieren
#17
(23.05.2018., 13:57)rugk schrieb: Man kann natürlich auch überall Verschwörungstheorien sehen, ...

Ja, kann man. Man kann auch mit Scheuklappen rumlaufen und/oder das hier machen:
[Bild: 32773392it.jpg]
Zitieren
#18
(23.05.2018., 13:50)BamBam schrieb: Frage dich doch bitte mal selber, wer wohl ein großes Interesse daran haben könnte die Verbreitung von verschlüsselter Kommunikation zu untergraben oder bestenfalls sogar einzudämmen.

Was eignet sich da besser als ein riesengroßes Me­di­en­spek­ta­kel über die "Unzuverlässigkeit" von OpenPGP und S/MIME?

Mhh, dann ist es ja schon irgendwie blöd, dass auf sichere Alternativen hingewiesen wurde. Aber das ist nur ein Versuch, die Leute auf andere Plattformen zu bringen, welche vorher untergraben wurden und jetzt können die privaten Daten noch besser abgehört werden. In Wahrheit wurde die FH Münster längst von der NSA unterwandert. Das erklärt auch den Heartbleed-Bug, den Robin Seggelmann natürlich absichtlich in OpenSSL platziert hat. Moment mal, dieser ominöse Lennart Grahl taucht auch auf dem Efail-Paper auf und schreibt seine Arbeit auch bei diesem Prof. Tüxen, der Robin Seggelmann betreut hat? Das kann unmöglich ein Zufall sein! Hier wird wohl gerade WebRTC unter dem Vorwand, Data Channels zu verbessern, unterwandert. Wahnsinn, was für Intrigen sich hier offenbaren!

Das Einzige was irgendwie nicht so recht zusammenpassen will, ist, dass besagte Person diese Verschwörung enthüllt. Aber ich bin mir sicher, auch dafür gibt es eine Erklärung. Chemtrails! Außerirdische, puderzuckersafttrinkende Nachkommen von Kreuzungen durch Menschen und Sonnenblumen, welche mit genmanipulierten Bienenzombies bestäubt wurden!

Edit: Ich hab doch glatt vergessen, den Link zu meinem Beweis einzufügen. Nachgeholt!
Zitieren
#19
Können wir uns bitte einfach darauf einigen, dass das einfach eine Sicherheitslücke ist/war, bei der ganz sicher ein paar Kommunikationsfehler beim Veröffentlichen entstanden sind und die Art und Weise Aufmerksamkeit zu erzeugen für die Sicherheitslücke (Website), was prinzipiell ja gut ist, etwas aus dem Ruder gelaufen ist? Insbesondere, wenn dann weitere Journalisten das ganze so stark vereinfacht "interpretieren", dass dann "PGP ist geknackt" heraus kommt und in dieser Form ("Mailverschlüsselung ist unsicher.") sogar Tagesschau-Eilnachricht wurde.
Das ganze ist und bleibt eine Sicherheitslücke, die v.a. durch alte Protokolle ohne authentifizierte Verschlüsselung (die heutzutage Standard ist), entstanden ist und jetzt gefunden wurde – nicht mehr und nicht weniger. Man sollte hier also lieber eigentlich froh sein, dass sie entdeckt wurde.

Und die Empfehlung PGP einfach auszuschalten dabei sicherlich nicht optimal ist, aber – vor dem Hintergrund, dass die Sicherheitslücke auch die Entschlüsselung alter Nachrichten erlaubt – durchaus nachvollziehbar ist? (Stell dir mal einen Whisleblower vor, dem jetzt bevor dieser das Update für den Mailclient bekommen hat, ein paar alte Mails entschlüsselt wurden.) Inzwischen hat die EFF übrigens auch ergänzt, dass es eine temporärer Workaround ist. Natürlich muss man PGP danach wieder aktivieren, wenn alles gefixt ist. (und man am Besten HTML-Mails deaktiviert hat).

Ansonsten driftet dieser Thread hier ziemlich off-topic.
Zitieren
#20
(23.05.2018., 16:42)rugk schrieb: Das ganze ist und bleibt eine Sicherheitslücke, ..., entstanden ist und jetzt gefunden wurde – nicht mehr und nicht weniger.

Falsch! Erkannt wurde das Problem schon im Jahr 2000/2001.
OpenPGP ist nach wie vor sicher, sofern man es richtig implementiert und richtig nutzt.
Nicht zu vergessen die nicht verwundbaren Clients.

Attacks on PGP clients:
[Bild: efail-disclosure-pgp.png]

Attacks on S/MIME clients:
[Bild: efail-disclosure-smime.png]
Zitieren
#21
Dinge die ich alles nicht behauptet habe:
  • Es gibt Clients, die diese Lücke nicht haben.
  • Wenn der Client PGP richtig implementiert (bzw. also bei Authentifzierungsfehlern eben nix entschlüsselst), ist die Sicherheitslücke gefixt. (Hinweis: Wenn es nicht so wäre, könnten Mailclients das Problem auch nicht so leicht fixen.)
Dinge, die ich gesagt habe:
  • die Sicherheitslücke wurde in diesem Jahr gefunden.
Dinge, die du mir zeigst:
  • die Clients, die betroffen sind + Datum des Kontaktes (Hinweis: Dieses Datum liegt nicht im Jahr 2000/2001.*)
* Hinweis: Und wenn du behaupten möchtest das die NSA/whoever die Lücke vorher kannte. Ja, ist sicher möglich, nur weiß es keiner. Belegen kannst du es mir aber gerne, zeig mir einfach deinen NSA-Dienstausweis, dann glaube ich dir. Lächeln

Kurz gesagt: Gib mal einen Link für diese 2000/2001-Behauptung. Evt. bezieht du dich auch nur auf Privatsphärenprobleme bzgl. HTML-Mails, die gab es natürlich schon immer und die waren auch bekannt. Bekannt war übrigens natürlich auch schon, dass die Konstruktion den MDC – ein SHA-1-Hash als Authentifzierung – nicht mehr die allerneuste und super Krypto ist. Siehe dazu auch diesen Blog, der diesbezüglich in die Details geht.
Zitieren
#22
smile6 Ach ja, die Beweisführung wird hier im Threema-Forum.de als ausgesprochen wichtig erachtet.

Ich habe mich tatsächlich geirrt, denn es liegt schon 18 bzw. 19 Jahre zurück.
Das besagte Angriffsszenario ist bereits 1999 aufgefallen.
Der Fix erfolgte im darauffolgenden Jahr, im Sommer 2000.
«mailbox.org» schrieb:UPDATE: Fragwürdiges Vorgehen der FH Münster — irreführende Überschriften — PGP ist weiterhin sicher

Angesichts der Tatsache, dass Klartextkommunikation auch keine Lösung ist, angesichts der Tatsache, dass es für sicherheitssensible User Workarounds gibt und angesichts der Tatsache, dass viele Implementierungen nie betroffen waren oder mittlerweile im Vorfeld repariert wurden, ist das Vorgehen des Teams der FH Münster leider mehr als fragwürdig. Wenn nun im großen Stil die Abschaltung von PGP gefordert wird, ist das wenig konstruktiv und hilfreich — und erweist den Nutzern und der sicheren E-Mail-Kommunikation einen Bärendienst. Die umfangreich falsche Berichterstattung, die das Vorgehen ausgelöst hat, spricht Bände.

Hier hat wohl der Wunsch des Forscherteams nach guter Publicity und Pressearbeit überhand genommen. -Letzteres hat gut funktioniert, wenn landauf, landab große überregionale Tageszeitungen Artikelüberschriften bringen, nach denen „PGP geknackt“ worden sei. -Das ist natürlich absoluter Unsinn, denn die PGP-Verschlüsselung ist mitnichten geknackt und war auch nie betroffen. Lediglich das Handling von HTML-E-Mails in einigen Mailclients ist ein Problem (aber das ist es seit 25 Jahren!).

Im zweiten Teil des Dokuments haben die Forscher eine potentielle echte Lücke in der Kryptografie von PGP dargelegt — auch dort schreiben die Forscher jedoch, dass es ihnen noch nicht gelungen ist, dieses denkbare Problem tatsächlich auszunutzen. Dieser Bereich hätte die Überschrift „PGP ist geknackt“ vielleicht verdient gehabt — doch noch am selben Tag haben die Entwickler von GnuPGP und GPG4Win in einem gemeinsamen Statement dargelegt, dass das Angriffsszenario bereits 1999 aufgefallen und „seit Sommer 2000“ nicht mehr möglich sei. Sprich: Hypothetischer Fehlalarm, der im Vorfeld anscheinend noch nicht mal überprüft wurde.

Diverse Medien mussten mittlerweile zurückrudern. So änderte ZEIT ONLINE nachträglich ihre Überschrift und spricht nicht mehr von geknackter Verschlüsselung, sondern „ausgehebelter“ Verschlüsselung. Kann man vielleicht gelten lassen, auch wenn dem normalen Leser weiterhin suggeriert wird, die Verschlüsselung sei unsicher (dabei ist es doch der Mailclient!). Doch auch weiterhin ist viel Hype im Thema. „Man müsse dem Empfänger vertrauen“ und „Keiner kann mehr sicher sein, dass die entschlüsselte Nachricht nicht publiziert wird“. -Das ist soweit richtig, aber solange landauf, landab die Empfänger vireninfizierte Windows-PCs verwenden, ist es ein allgemeines und stets vorhandenes (und wahrscheinlicheres?) Problem, dass vom Rechner des Empfängers Daten entführt werden können. „Forscher raten, Computer vorübergehend nicht mehr zu benutzen“ wäre also die sinnvollere Überschrift gewesen, wenn wir schon partout Panikmache zur Auflagensteigerung verwenden wollen.

Quelle: mailbox.org
Zitieren
#23
Ich würde mailbox.org jetzt nicht unbedingt als neutral betrachten. Abgesehen davon wird der Status Quo in meinen Augen als zu harmlos dargestellt. Das Statement auf der Mailing-Liste ist mit Sicherheit nicht falsch, aber die Kritik an der API, sowie dessen Dokumentation, muss sich GnuPG durchaus gefallen lassen, genauso wie die Streaming-Problematik mit MDC bzgl. PGP im Allgemeinen. Das ist aber eben auch nicht alles, was Efail umfasst. Der Golem-Artikel "PGP/SMIME - Die wichtigsten Fakten zu Efail" fasst die Problematik meines Erachtens sehr schön zusammen.

Darüber hinaus missfällt mir, dass die Forscher und Journalisten in einen Topf geworfen werden. Wer hier nach Publicity gelechzt hat, lässt sich schwerlich rekonstruieren. Es ist aber mit Sicherheit kein Grund, alle über einen Kamm zu scheren und damit einzelne Personen zu diskreditieren, von denen ich teils persönlich weiß, dass sie lange und ausgiebig daran gearbeitet haben.
Zitieren
#24
Ah, na also ein Missverständnis:

Also seit 2000 oder so ist das Problem bekannt, dass die Krypto in PGP nicht mehr ganz up-to-date ist, weil nicht authentifziert. Das hat man dann gefixt, in dem man einen optionalen(!) MDC (so ein Authenitifizierungscode, der nur in PGP verwendet wird) hinzugefügt hat zum Protokoll. Der eigentliche Angriff, der auch diese fehlende verpflichtende Verschlüsselung bzw. Probleme in dem Handling eben dieser durch Mail-Clients + das ganze mit HTML/PDF/andere Kanäle, ausnutzt, ist natürlich erst seit 2018 bekannt.
Zitieren


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Elcomsoft kann jetzt Whatsapp auf Android knacken Mogli 0 1.324 04.02.2017., 12:21
Letzter Beitrag: Mogli
  Facebook Messenger bekommt E2E-Verschlüsselung Badener 3 2.119 09.07.2016., 09:27
Letzter Beitrag: Badener
  IP-Spoofing: Forscher erkennen Standortverschleierung zu 97 Prozent mibere 1 1.535 16.02.2016., 19:19
Letzter Beitrag: lgrahl
  Verschlüsselung schon konspirativ ? Mr. Meyhet 5 2.545 04.02.2016., 18:42
Letzter Beitrag: dummabua
  WA: Verifizierte EtoE Verschlüsselung TheDeckie 10 5.065 07.01.2016., 22:02
Letzter Beitrag: ok-mobil