Abo
  • Services:
Anzeige
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen.
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de)

Die Antworten von Ftapi werfen Fragen auf

Insbesondere die Aussage bezüglich RSA und ECB waren dabei problematisch. ECB ist ein Blockmodus, der eigentlich nur für Blockverschlüsselungsalgorithmen wie AES eingesetzt wird. ECB im Zusammenhang mit RSA zu benutzen, ergibt keinen Sinn, da RSA überhaupt nicht direkt zur Datenverschlüsselung genutzt wird. Zudem ist ECB unsicher. In diesem Modus, der auf gar keinen Fall für ernsthafte Verschlüsselungsanwendungen genutzt werden sollte, wird jeder Block eines Datenpakets einzeln mit demselben Schlüssel verschlüsselt - gleicher Ausgangstext führt demnach zu identischem Ciphertext. Bildlich dargestellt wird die Schwäche von ECB oft mit einem verschlüsselten Tux-Pinguin, dessen Umrisse auch nach der Verschlüsselung noch gut erkennbar sind.

Anzeige

Die Aussage, dass AES im CBC-Modus verwendet wird, wirft weitere Fragen auf. CBC selbst ist ein Modus, der lediglich Daten verschlüsselt, aber keine Authentizität der Daten gewährleistet. Ob zusätzlich ein Signaturverfahren zum Einsatz kommt, geht aus den Informationen von Ftapi nicht hervor.

Weiß die Firma, was sie tut?

Die von Vodafone für den Dienst beauftrage Firma Ftapi macht auch auf ihrer Webseite verwirrende Angaben. Etwa die Aussage, dass für die Nutzung der Produkte der Firma "ein gesicherter HTTPS-Kanal mit mindestens einem 128-Bit-SSL-Zertifikat" empfohlen wird, zeugt nicht von umfangreichen Kenntnissen der Kryptografie. Denn für Zertifikate werden asymmetrische Schlüssel verwendet, üblicherweise mit dem RSA-Verfahren. Die sollten mindestens 2048 Bit lang sein. 128 Bit kommen üblicherweise für die eigentliche Transportverschlüsselung bei HTTPS zum Einsatz, die hat jedoch mit dem Zertifikat nichts zu tun. Ftapi hat diese Aussagen auf der Webseite mittlerweile korrigiert.

Der Dienst ist in einer Basisversion für alle kostenfrei verfügbar - lediglich Geschäftskunden sollen für zusätzlichen Speicherplatz und weitere Features zahlen. Nutzer der kostenfreien Version können Anhänge mit maximal 1 MB versenden und insgesamt 10 MB Speicherplatz belegen. Anhänge werden nur fünf Tage aufbewahrt. Die Basisversion kann entweder über das Webmail-Interface oder über eine App für iOS- oder Android-Systeme genutzt werden. Das Outlook-Plugin steht nur Nutzern der Business-Variante zur Verfügung. Diese können bis zu 200 MB große Anhänge versenden. Insgesamt dürfen die Nutzer 5 GB Speicherplatz für bis zu 90 Tage nutzen. Für eine Preisauskunft sollen Unternehmen ihren Vodafone-Vertriebsbeauftragten fragen. Die Kommunikations-Metadaten werden von Secure Mail, ähnlich wie bei PGP, nicht verschlüsselt. Sender, Empfänger, Betreff und der Sendezeitpunkt sind also im Klartext lesbar.

Nachtrag vom 7. Dezember 2015, 16:16 Uhr

Vodafone und QSC haben sich mittlerweile bei uns gemeldet und einige der von Ftapi auf unsere Anfrage hin gemachten Angaben richtiggestellt. Tatsächlich werde die Kombination aus RSA und ECB nicht verwendet. Weiter heißt es in einem gemeinsamen Statement von QSC und Vodafone: "Das Verschlüsselungsverfahren von Ftapi ist bereits seit 2010 erprobt und wird von vielen namhaften Unternehmen eingesetzt. Ftapi hat sich zum Ziel gesetzt, Verschlüsselung 'mainstreamtauglich' zu machen, da die bislang am Markt befindlichen Lösungen nicht die nötige Akzeptanz finden, was auch mit der Komplexität des Themas zusammenhängt. Das Produkt Secure E-Mail wurde zudem von der Eurosec GmbH Chiffriertechnik & Sicherheit, einem auf IT-Sicherheit und Kryptographie spezialisierten unabhängigen Unternehmen, auf Herz und Nieren geprüft. Die Aussage auf der Webseite: 'ein gesicherter HTTPS-Kanal mit mindestens einem 128-Bit-SSL-Zertifikat' war ein Fehler, der bereits korrigiert wurde." Wir haben den Artikel entsprechend der Aussagen ergänzt.

 "Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel

eye home zur Startseite
narfomat 08. Dez 2015

das ist so nicht richtig. entscheidend ist, wie warscheinlich es ist, das die person, vor...

Gul2c 07. Dez 2015

Klar sind PGP und S/MIME nicht komplett Ene-zu-Ende, da die Metadaten nicht verschlüsselt...

holminger 05. Dez 2015

Wenn ich daran denke, dass Vodafone aus der Heimat des GCHQ kommt und im Verdacht steht...

huuu 05. Dez 2015

NSA laesst gruessen.. warum sollte mann sich auch steine in weg legen wenn man kiesel...

42bios 05. Dez 2015

+1



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. Panasonic Industrial Devices Europe GmbH, Lüneburg
  4. Daimler AG, Ulm


Anzeige
Top-Angebote
  1. 1169,00€
  2. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. TU Dresden

    5G-Forschung der Telekom geht in Entertain und Hybrid ein

  2. Petya-Variante

    Goldeneye-Ransomware verschickt überzeugende Bewerbungen

  3. Sony

    Mehr als 50 Millionen Playstation 4 verkauft

  4. Weltraumroboter

    Ein R2D2 für Satelliten

  5. 300 MBit/s

    Warum Super Vectoring bei der Telekom noch so lange dauert

  6. Verkehrssteuerung

    Audi vernetzt Autos mit Ampeln in Las Vegas

  7. Centriq 2400

    Qualcomm zeigt eigene Server-CPU mit 48 ARM-Kernen

  8. VG Wort Rahmenvertrag

    Unis starten in die Post-Urheberrecht-Ära

  9. Ultrastar He12

    WD plant Festplatten mit bis zu 14 Terabyte

  10. LG

    Weitere Hinweise auf Aufgabe des bisherigen Modulsystems



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: Moodle

    Keksmonster226 | 17:31

  2. Währe es Teuerer/Unlokrativ

    Arystus | 17:30

  3. "den kaum flotteren Core i7-6700K"

    otraupe | 17:29

  4. Re: Schwungradgeneratoren - preiswerter und...

    pica | 17:28

  5. Re: Nicht schlecht für den Anfang, aber...

    oxybenzol | 17:27


  1. 17:34

  2. 17:04

  3. 16:33

  4. 16:10

  5. 15:54

  6. 15:50

  7. 15:40

  8. 15:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel