Abo
  • Services:
Anzeige
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen.
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de)

Die Antworten von Ftapi werfen Fragen auf

Insbesondere die Aussage bezüglich RSA und ECB waren dabei problematisch. ECB ist ein Blockmodus, der eigentlich nur für Blockverschlüsselungsalgorithmen wie AES eingesetzt wird. ECB im Zusammenhang mit RSA zu benutzen, ergibt keinen Sinn, da RSA überhaupt nicht direkt zur Datenverschlüsselung genutzt wird. Zudem ist ECB unsicher. In diesem Modus, der auf gar keinen Fall für ernsthafte Verschlüsselungsanwendungen genutzt werden sollte, wird jeder Block eines Datenpakets einzeln mit demselben Schlüssel verschlüsselt - gleicher Ausgangstext führt demnach zu identischem Ciphertext. Bildlich dargestellt wird die Schwäche von ECB oft mit einem verschlüsselten Tux-Pinguin, dessen Umrisse auch nach der Verschlüsselung noch gut erkennbar sind.

Anzeige

Die Aussage, dass AES im CBC-Modus verwendet wird, wirft weitere Fragen auf. CBC selbst ist ein Modus, der lediglich Daten verschlüsselt, aber keine Authentizität der Daten gewährleistet. Ob zusätzlich ein Signaturverfahren zum Einsatz kommt, geht aus den Informationen von Ftapi nicht hervor.

Weiß die Firma, was sie tut?

Die von Vodafone für den Dienst beauftrage Firma Ftapi macht auch auf ihrer Webseite verwirrende Angaben. Etwa die Aussage, dass für die Nutzung der Produkte der Firma "ein gesicherter HTTPS-Kanal mit mindestens einem 128-Bit-SSL-Zertifikat" empfohlen wird, zeugt nicht von umfangreichen Kenntnissen der Kryptografie. Denn für Zertifikate werden asymmetrische Schlüssel verwendet, üblicherweise mit dem RSA-Verfahren. Die sollten mindestens 2048 Bit lang sein. 128 Bit kommen üblicherweise für die eigentliche Transportverschlüsselung bei HTTPS zum Einsatz, die hat jedoch mit dem Zertifikat nichts zu tun. Ftapi hat diese Aussagen auf der Webseite mittlerweile korrigiert.

Der Dienst ist in einer Basisversion für alle kostenfrei verfügbar - lediglich Geschäftskunden sollen für zusätzlichen Speicherplatz und weitere Features zahlen. Nutzer der kostenfreien Version können Anhänge mit maximal 1 MB versenden und insgesamt 10 MB Speicherplatz belegen. Anhänge werden nur fünf Tage aufbewahrt. Die Basisversion kann entweder über das Webmail-Interface oder über eine App für iOS- oder Android-Systeme genutzt werden. Das Outlook-Plugin steht nur Nutzern der Business-Variante zur Verfügung. Diese können bis zu 200 MB große Anhänge versenden. Insgesamt dürfen die Nutzer 5 GB Speicherplatz für bis zu 90 Tage nutzen. Für eine Preisauskunft sollen Unternehmen ihren Vodafone-Vertriebsbeauftragten fragen. Die Kommunikations-Metadaten werden von Secure Mail, ähnlich wie bei PGP, nicht verschlüsselt. Sender, Empfänger, Betreff und der Sendezeitpunkt sind also im Klartext lesbar.

Nachtrag vom 7. Dezember 2015, 16:16 Uhr

Vodafone und QSC haben sich mittlerweile bei uns gemeldet und einige der von Ftapi auf unsere Anfrage hin gemachten Angaben richtiggestellt. Tatsächlich werde die Kombination aus RSA und ECB nicht verwendet. Weiter heißt es in einem gemeinsamen Statement von QSC und Vodafone: "Das Verschlüsselungsverfahren von Ftapi ist bereits seit 2010 erprobt und wird von vielen namhaften Unternehmen eingesetzt. Ftapi hat sich zum Ziel gesetzt, Verschlüsselung 'mainstreamtauglich' zu machen, da die bislang am Markt befindlichen Lösungen nicht die nötige Akzeptanz finden, was auch mit der Komplexität des Themas zusammenhängt. Das Produkt Secure E-Mail wurde zudem von der Eurosec GmbH Chiffriertechnik & Sicherheit, einem auf IT-Sicherheit und Kryptographie spezialisierten unabhängigen Unternehmen, auf Herz und Nieren geprüft. Die Aussage auf der Webseite: 'ein gesicherter HTTPS-Kanal mit mindestens einem 128-Bit-SSL-Zertifikat' war ein Fehler, der bereits korrigiert wurde." Wir haben den Artikel entsprechend der Aussagen ergänzt.

 "Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel

eye home zur Startseite
narfomat 08. Dez 2015

das ist so nicht richtig. entscheidend ist, wie warscheinlich es ist, das die person, vor...

Gul2c 07. Dez 2015

Klar sind PGP und S/MIME nicht komplett Ene-zu-Ende, da die Metadaten nicht verschlüsselt...

holminger 05. Dez 2015

Wenn ich daran denke, dass Vodafone aus der Heimat des GCHQ kommt und im Verdacht steht...

huuu 05. Dez 2015

NSA laesst gruessen.. warum sollte mann sich auch steine in weg legen wenn man kiesel...

42bios 05. Dez 2015

+1



Anzeige

Stellenmarkt
  1. Broetje-Automation, Rastede
  2. über Hanseatisches Personalkontor Kassel, Kassel
  3. über Hanseatisches Personalkontor München, Großraum München
  4. Robert Bosch GmbH, Leonberg


Anzeige
Hardware-Angebote
  1. 307,01€ mit Gutscheincode: 16Power17
  2. 198,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  2. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  3. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  4. Funkchips

    Apple klagt gegen Qualcomm

  5. Die Woche im Video

    B/ow the Wh:st/e!

  6. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  7. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  8. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  9. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  10. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Verwirrung Assange will nicht in die USA - oder doch?
  2. Nach Begnadigung Mannings Assange weiter zu Auslieferung in die USA bereit
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

  1. Re: Manipulative Bildauswahl

    eyemiru | 01:36

  2. Re: Apple verklagt Qualcomm weil sie ihnen...

    Cok3.Zer0 | 01:29

  3. Aprilscherz im Januar?

    smaragd99 | 01:25

  4. Re: Vakuum

    masel99 | 01:08

  5. Re: Nett, v.a. Gigabit-Ethernet, aber...

    nille02 | 01:01


  1. 16:49

  2. 14:09

  3. 12:44

  4. 11:21

  5. 09:02

  6. 19:03

  7. 18:45

  8. 18:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel