Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Forscher knacken E-Mail-Verschlüsselung
#1
Eben gelesen...
Angeblich ist durch eine Schwachstelle PGP und S/MIME angreifbar

Link auf Tagesschau.de
Zitieren
#2
https://efail.de
Zitieren
#3
(14.05.2018., 14:26)lgrahl schrieb: https://efail.de
Gibts was auf deutsch auch? :/
Zitieren
#4
(14.05.2018., 15:30)Mogli schrieb: Gibts was auf deutsch auch? :/

Hilft Dir das hier weiter? Zwincker
Zitieren
#5
(14.05.2018., 15:37)Kilroy schrieb: Hilft Dir das hier weiter? Zwincker
Vielen Dank Lächeln
Zitieren
#6
E-Mail-Verschlüsselung ist einfach ein Riesendurcheinander, unzählige Möglichkeiten, verschiedene Clients, teils veraltete Protokolle und Krypto. Ich mag GnuPG ja für Sachen wie das Signieren von Programmen etc. Man sollte sich wohl einfach davon verabschieden, die E-Mail sicher machen zu wollen. Lieber baut man von Grund auf eine andere, leichtgewichtigere Technologie. Ohne die ganze Rückwärtskompatibilität, die bei der E-Mail teils notwendig ist.

Die Veröffentlichung des Papers fand ich unglücklich. Alles etwas gehypt und man muss nicht auf Twitter einen Tag zuvor schreiben „Schwerwiegende Sicherheitslücke!!! GPG nicht mehr verwenden!!1! Enigmail ausschalten!!!11“ und dann sich beschweren, wenn sich GnuPG äußert. Wenn dann einfach sofort auf die Website verweisen mit den Details. Das vorherige Hypen und „Ich weiß was, was ihr nicht wisst“-Spielchen finde ich immet etwas unglücklich.

Die Message des Papers ist wichtig und richtig. Manchmal stört mich nur dieser Hype und evlt. (?) Ego-Spielchen. Grinsen

Edit: Statement der GnuPG-Entwickler: https://lists.gnupg.org/pipermail/gnupg-...60334.html
Zitieren
#7
...Ob wohl Threema & Co tatsächlich von Efail profitieren können?

Zitat:Über eine Sicherheitslücke können Angreifer verschlüsselte E-Mails lesen. Signal, Threema und sogar Whatsapp sind gute Alternativen - nur bei Telegram ist Vorsicht angebracht.

Aus: “Messenger wie Signal und Threema verschlüsseln sicher - Digital - Süddeutsche.de”
http://www.sueddeutsche.de/digital/smart...-1.3978888
Zitieren
#8
(14.05.2018., 15:55)Crixus schrieb: Die Veröffentlichung des Papers fand ich unglücklich. Alles etwas gehypt und man muss nicht auf Twitter einen Tag zuvor schreiben „Schwerwiegende Sicherheitslücke!!! GPG nicht mehr verwenden!!1! Enigmail ausschalten!!!11“ und dann sich beschweren, wenn sich GnuPG äußert. Wenn dann einfach sofort auf die Website verweisen mit den Details. Das vorherige Hypen und „Ich weiß was, was ihr nicht wisst“-Spielchen finde ich immet etwas unglücklich.

Das Ziel war es, dass die Leute vor der Veröffentlichung ihre Plugins ausschalten und nicht zu zeigen wie geil man ist. Insofern völlig legitim. Es ist aber in der Tat dumm gelaufen. Die Überreaktion der PGP Leute war aber auch nicht besonders brillant. Verstehe auch nicht was dieser Kindergarten mit den Schuldzuweisungen immer soll. Man sollte sich lieber folgende Frage stellen: "Wie beseitigen wir das Problem und wie stellen wir sicher, dass es nicht wieder passiert?"
Zitieren
#9
Einer der besten Artikel zum Thema ist übrigens der von Golem.de: https://www.golem.de/news/pgp-smime-angr...34370.html

Erklärt, wann man angreifbar ist, wann nicht und was man machen sollte.
Zitieren
#10
(14.05.2018., 14:04)Mr. Meyhet schrieb: Angeblich ist durch eine Schwachstelle PGP und S/MIME angreifbar

Reiner Populismus.

Mit dieser "Sensationsmeldung" hat man mit hoher Wahrscheinlichkeit großen Schaden angerichtet und vollkommen unnötig Unsicherheit gestiftet. Womöglich ist das mit purer Absicht (womöglich sogar fremdfinanziert) geschehen. Und dieses "Problem" ist auch nicht neu. Es wurde bereits vor 17/18 Jahren entdeckt. Wer per E-Mail wirksam verschlüsselt kommunizieren möchte, der verwendet auch eine entsprechend sichere Kommunikationsinfrastruktur. Dass sich HTML-Code und wirksam sichere Verschlüsselung nicht unbedingt miteinander vereinbaren lassen, kann man sich zusammenreimen. Dasselbe gilt für nachladbaren Code jedweder Art (bspw. JavaScript). Dass es nach wie vor sichere (nicht angreifbare) E-Mail-Kommunikation gibt, hat man gar nicht erst erwähnt und stattdessen "PGP" ganz pauschal verteufelt. Allerdings: In Sachen "S/MIME" ist die öffentliche Kritik sicherlich gerechtfertigt.

Beiträge, wie der, "Wegschmeißen und neu machen", des Herrn Jürgen Schmidt (Diplom-Physiker) und Chefredakteur von heise Security, sind in diesem Zusammenhang nicht zielführend. Vor allem nicht vor dem Hintergrund, dass der Herr "Diplom-Physiker" keine adäquate (bessere) Lösung parat hat.

BamBam schrieb:Auf ans Werk, Herr Jürgen Schmidt (Diplom-Physiker), setzen Sie sich hin und machen Sie eine neue, sicherere und bessere Verschlüsselung! Worauf warten Sie noch?
Zitieren
#11
(22.05.2018., 18:50)BamBam schrieb: Mit dieser "Sensationsmeldung" hat man mit hoher Wahrscheinlichkeit großen Schaden angerichtet und vollkommen unnötig Unsicherheit gestiftet. Womöglich ist das mit purer Absicht (womöglich sogar fremdfinanziert) geschehen.

Ich kann ja beim nächsten Mittagessen mal fragen was die Leute aus dem IT-Security Labor sich für geile, neue Karren von dem Geld geleistet haben. Geld Sebastian Schinzel geht Gerüchten zufolge nicht mit weniger als drei Rolex am Arm ausm Haus. Tränen lachen

(22.05.2018., 18:50)BamBam schrieb: Und dieses "Problem" ist auch nicht neu. Es wurde bereits vor 17/18 Jahren entdeckt. Wer per E-Mail wirksam verschlüsselt kommunizieren möchte, der verwendet auch eine entsprechend sichere Kommunikationsinfrastruktur.

Was für eine Infrastruktur soll das sein?

(22.05.2018., 18:50)BamBam schrieb: Dass sich HTML-Code und wirksam sichere Verschlüsselung nicht unbedingt miteinander vereinbaren lassen, kann man sich zusammenreimen. Dasselbe gilt für nachladbaren Code jedweder Art (bspw. JavaScript). Dass es nach wie vor sichere (nicht angreifbare) E-Mail-Kommunikation gibt, hat man gar nicht erst erwähnt und stattdessen "PGP" ganz pauschal verteufelt.

Das ist nur ein Bruchteil der genannten Backchannels aus dem Paper.

(22.05.2018., 18:50)BamBam schrieb: Allerdings: In Sachen "S/MIME" ist die öffentliche Kritik sicherlich gerechtfertigt.

Erst Populismus brüllen und dann selber zurückrudern.

Komm, lies mal lieber den heutigen, sehr empfehlenswerten Golem-Artikel.

(22.05.2018., 18:50)BamBam schrieb: Beiträge, wie der, "Wegschmeißen und neu machen", des Herrn Jürgen Schmidt (Diplom-Physiker) und Chefredakteur von heise Security, sind in diesem Zusammenhang nicht zielführend. Vor allem nicht vor dem Hintergrund, dass der Herr "Diplom-Physiker" keine adäquate (bessere) Lösung parat hat.

Was soll der Unsinn? Die Lösung soll der sich jetzt ausm Arm schütteln oder wie? Zumal berichtet er lediglich darüber. Hypothetisch (hoffentlich): Atommüll ins Meer kippen ist auch scheiße, aber eine Lösung wie man den jetzt lagern soll kann ich auch nicht vorschlagen. Deswegen darf ich es ja trotzdem kritisieren.
Zitieren
#12
(22.05.2018., 20:59)lgrahl schrieb: Was für eine Infrastruktur soll das sein?

Verwendung eines sicheren (nicht angreifbaren) E-Mail-Clienten, E-Mail (verschlüsselt) grundsätzlich nur als Reintext, kein HTML, keine Möglichkeit zur Nachladbarkeit von Code jedweder Art.
Zitieren
#13
Und das fällt eben schon beim "nicht angreifbaren Mail-Client" zusammen, zumindest zum Zeitpunkt der Veröffentlichung, allerdings auch noch heute. Ich würde dir empfehlen solche Nachrichten mehr zu hinterfragen statt sie ungefragt in den Raum zu werfen und dazu noch völlig abstruse Verschwörungstheorien zu verbreiten.
Zitieren
#14
(23.05.2018., 13:34)lgrahl schrieb: Und das fällt eben schon beim "nicht angreifbaren Mail-Client" zusammen, zumindest zum Zeitpunkt der Veröffentlichung, allerdings auch noch heute.

Und hier wage ich zu widersprechen. Über den Client Claws-Mail, z. B., war schon lange vor "EFAIL" bekannt, dass er weder HTML kann, noch dass er anfällig für (nachladbaren) Code jedweder Art wäre.

(23.05.2018., 13:34)lgrahl schrieb: Ich würde dir empfehlen solche Nachrichten mehr zu hinterfragen statt sie ungefragt in den Raum zu werfen und dazu noch völlig abstruse Verschwörungstheorien zu verbreiten.

Frage dich doch bitte mal selber, wer wohl ein großes Interesse daran haben könnte die Verbreitung von verschlüsselter Kommunikation zu untergraben oder bestenfalls sogar einzudämmen. Was eignet sich da besser als ein riesengroßes Me­di­en­spek­ta­kel über die "Unzuverlässigkeit" von OpenPGP und S/MIME?
Zitieren
#15
Man kann natürlich auch überall Verschwörungstheorien sehen, ja… Man kann auch auf dem Boden der Tatsachen bleiben. Your choice…
Zitieren


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Elcomsoft kann jetzt Whatsapp auf Android knacken Mogli 0 1.421 04.02.2017., 12:21
Letzter Beitrag: Mogli
  Facebook Messenger bekommt E2E-Verschlüsselung Badener 3 2.294 09.07.2016., 09:27
Letzter Beitrag: Badener
  IP-Spoofing: Forscher erkennen Standortverschleierung zu 97 Prozent mibere 1 1.611 16.02.2016., 19:19
Letzter Beitrag: lgrahl
  Verschlüsselung schon konspirativ ? Mr. Meyhet 5 2.667 04.02.2016., 18:42
Letzter Beitrag: dummabua
  WA: Verifizierte EtoE Verschlüsselung TheDeckie 10 5.288 07.01.2016., 22:02
Letzter Beitrag: ok-mobil