Abo
  • Services:
Anzeige
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen.
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de)

Die Antworten von Ftapi werfen Fragen auf

Insbesondere die Aussage bezüglich RSA und ECB waren dabei problematisch. ECB ist ein Blockmodus, der eigentlich nur für Blockverschlüsselungsalgorithmen wie AES eingesetzt wird. ECB im Zusammenhang mit RSA zu benutzen, ergibt keinen Sinn, da RSA überhaupt nicht direkt zur Datenverschlüsselung genutzt wird. Zudem ist ECB unsicher. In diesem Modus, der auf gar keinen Fall für ernsthafte Verschlüsselungsanwendungen genutzt werden sollte, wird jeder Block eines Datenpakets einzeln mit demselben Schlüssel verschlüsselt - gleicher Ausgangstext führt demnach zu identischem Ciphertext. Bildlich dargestellt wird die Schwäche von ECB oft mit einem verschlüsselten Tux-Pinguin, dessen Umrisse auch nach der Verschlüsselung noch gut erkennbar sind.

Anzeige

Die Aussage, dass AES im CBC-Modus verwendet wird, wirft weitere Fragen auf. CBC selbst ist ein Modus, der lediglich Daten verschlüsselt, aber keine Authentizität der Daten gewährleistet. Ob zusätzlich ein Signaturverfahren zum Einsatz kommt, geht aus den Informationen von Ftapi nicht hervor.

Weiß die Firma, was sie tut?

Die von Vodafone für den Dienst beauftrage Firma Ftapi macht auch auf ihrer Webseite verwirrende Angaben. Etwa die Aussage, dass für die Nutzung der Produkte der Firma "ein gesicherter HTTPS-Kanal mit mindestens einem 128-Bit-SSL-Zertifikat" empfohlen wird, zeugt nicht von umfangreichen Kenntnissen der Kryptografie. Denn für Zertifikate werden asymmetrische Schlüssel verwendet, üblicherweise mit dem RSA-Verfahren. Die sollten mindestens 2048 Bit lang sein. 128 Bit kommen üblicherweise für die eigentliche Transportverschlüsselung bei HTTPS zum Einsatz, die hat jedoch mit dem Zertifikat nichts zu tun. Ftapi hat diese Aussagen auf der Webseite mittlerweile korrigiert.

Der Dienst ist in einer Basisversion für alle kostenfrei verfügbar - lediglich Geschäftskunden sollen für zusätzlichen Speicherplatz und weitere Features zahlen. Nutzer der kostenfreien Version können Anhänge mit maximal 1 MB versenden und insgesamt 10 MB Speicherplatz belegen. Anhänge werden nur fünf Tage aufbewahrt. Die Basisversion kann entweder über das Webmail-Interface oder über eine App für iOS- oder Android-Systeme genutzt werden. Das Outlook-Plugin steht nur Nutzern der Business-Variante zur Verfügung. Diese können bis zu 200 MB große Anhänge versenden. Insgesamt dürfen die Nutzer 5 GB Speicherplatz für bis zu 90 Tage nutzen. Für eine Preisauskunft sollen Unternehmen ihren Vodafone-Vertriebsbeauftragten fragen. Die Kommunikations-Metadaten werden von Secure Mail, ähnlich wie bei PGP, nicht verschlüsselt. Sender, Empfänger, Betreff und der Sendezeitpunkt sind also im Klartext lesbar.

Nachtrag vom 7. Dezember 2015, 16:16 Uhr

Vodafone und QSC haben sich mittlerweile bei uns gemeldet und einige der von Ftapi auf unsere Anfrage hin gemachten Angaben richtiggestellt. Tatsächlich werde die Kombination aus RSA und ECB nicht verwendet. Weiter heißt es in einem gemeinsamen Statement von QSC und Vodafone: "Das Verschlüsselungsverfahren von Ftapi ist bereits seit 2010 erprobt und wird von vielen namhaften Unternehmen eingesetzt. Ftapi hat sich zum Ziel gesetzt, Verschlüsselung 'mainstreamtauglich' zu machen, da die bislang am Markt befindlichen Lösungen nicht die nötige Akzeptanz finden, was auch mit der Komplexität des Themas zusammenhängt. Das Produkt Secure E-Mail wurde zudem von der Eurosec GmbH Chiffriertechnik & Sicherheit, einem auf IT-Sicherheit und Kryptographie spezialisierten unabhängigen Unternehmen, auf Herz und Nieren geprüft. Die Aussage auf der Webseite: 'ein gesicherter HTTPS-Kanal mit mindestens einem 128-Bit-SSL-Zertifikat' war ein Fehler, der bereits korrigiert wurde." Wir haben den Artikel entsprechend der Aussagen ergänzt.

 "Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel

eye home zur Startseite
narfomat 08. Dez 2015

das ist so nicht richtig. entscheidend ist, wie warscheinlich es ist, das die person, vor...

Gul2c 07. Dez 2015

Klar sind PGP und S/MIME nicht komplett Ene-zu-Ende, da die Metadaten nicht verschlüsselt...

holminger 05. Dez 2015

Wenn ich daran denke, dass Vodafone aus der Heimat des GCHQ kommt und im Verdacht steht...

huuu 05. Dez 2015

NSA laesst gruessen.. warum sollte mann sich auch steine in weg legen wenn man kiesel...

42bios 05. Dez 2015

+1



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Wolfsburg, Braunschweig
  2. investify S.A., Aachen oder Wasserbillig (Luxemburg)
  3. Robert Bosch GmbH, Stuttgart-Vaihingen
  4. HALLESCHE Krankenversicherung a. G., Stuttgart


Anzeige
Spiele-Angebote
  1. 9,99€
  2. (-24%) 12,99€
  3. 29,99€

Folgen Sie uns
       


  1. Quantencomputer

    Ein Forscher in den unergründlichen Weiten des Hilbertraums

  2. Gespräche mit Musik-Labels

    Tesla will eigenen Musikstreamingdienst starten

  3. MacOS High Sierra

    Apple blockiert Kernel-Extensions von Drittanbietern

  4. Youtube VR180

    Neues Kombi-Filmformat für 360-Grad- und Standardvideos

  5. Elektromobilität

    Porsche will jedes zweite Fahrzeug als E-Auto verkaufen

  6. Messenger-Dienste

    Bundestag erlaubt großflächigen Einsatz von Staatstrojanern

  7. Zahlungsabwickler

    Start-Up Stripe kommt nach Deutschland

  8. Kaspersky

    Microsoft reagiert auf Antivirus-Kartellbeschwerde

  9. EA Sports

    NHL 18 soll Hockey der jungen Spielergeneration bieten

  10. Eviation

    Alice fliegt elektrisch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. Whole Foods Market Amazon kauft Bio-Supermarktkette für 13,7 Milliarden Dollar
  2. Kartengebühren Transaktionen in Messages können teuer werden
  3. Übernahmen Extreme Networks will eine Branchengröße werden

Qubits teleportieren: So funktioniert Quantenkommunikation per Satellit
Qubits teleportieren
So funktioniert Quantenkommunikation per Satellit
  1. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"
  2. Quantenoptik Vom Batman-Fan zum Quantenphysiker
  3. Ionencomputer Wissenschaftler müssen dumme Dinge sagen dürfen

Skull & Bones angespielt: Frischer Wind für die Segel
Skull & Bones angespielt
Frischer Wind für die Segel
  1. Forza Motorsport 7 Dynamische Wolken und wackelnde Rückspiegel
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

  1. Re: Wer macht denn sowas mit Fimensitz in...

    Komischer_Phreak | 08:54

  2. Re: Ist doch ganz einfach ...

    Stippe | 08:51

  3. Re: Kreative...

    Jens Schellhase | 08:49

  4. Re: Im September ist Wahl

    Flome1404 | 08:49

  5. Re: Oh, das wäre wünschenswert

    dschu | 08:47


  1. 09:00

  2. 08:53

  3. 07:41

  4. 07:29

  5. 07:16

  6. 19:16

  7. 18:35

  8. 18:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel