Abo
  • Services:
Anzeige
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen.
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de)

Die Antworten von Ftapi werfen Fragen auf

Insbesondere die Aussage bezüglich RSA und ECB waren dabei problematisch. ECB ist ein Blockmodus, der eigentlich nur für Blockverschlüsselungsalgorithmen wie AES eingesetzt wird. ECB im Zusammenhang mit RSA zu benutzen, ergibt keinen Sinn, da RSA überhaupt nicht direkt zur Datenverschlüsselung genutzt wird. Zudem ist ECB unsicher. In diesem Modus, der auf gar keinen Fall für ernsthafte Verschlüsselungsanwendungen genutzt werden sollte, wird jeder Block eines Datenpakets einzeln mit demselben Schlüssel verschlüsselt - gleicher Ausgangstext führt demnach zu identischem Ciphertext. Bildlich dargestellt wird die Schwäche von ECB oft mit einem verschlüsselten Tux-Pinguin, dessen Umrisse auch nach der Verschlüsselung noch gut erkennbar sind.

Anzeige

Die Aussage, dass AES im CBC-Modus verwendet wird, wirft weitere Fragen auf. CBC selbst ist ein Modus, der lediglich Daten verschlüsselt, aber keine Authentizität der Daten gewährleistet. Ob zusätzlich ein Signaturverfahren zum Einsatz kommt, geht aus den Informationen von Ftapi nicht hervor.

Weiß die Firma, was sie tut?

Die von Vodafone für den Dienst beauftrage Firma Ftapi macht auch auf ihrer Webseite verwirrende Angaben. Etwa die Aussage, dass für die Nutzung der Produkte der Firma "ein gesicherter HTTPS-Kanal mit mindestens einem 128-Bit-SSL-Zertifikat" empfohlen wird, zeugt nicht von umfangreichen Kenntnissen der Kryptografie. Denn für Zertifikate werden asymmetrische Schlüssel verwendet, üblicherweise mit dem RSA-Verfahren. Die sollten mindestens 2048 Bit lang sein. 128 Bit kommen üblicherweise für die eigentliche Transportverschlüsselung bei HTTPS zum Einsatz, die hat jedoch mit dem Zertifikat nichts zu tun. Ftapi hat diese Aussagen auf der Webseite mittlerweile korrigiert.

Der Dienst ist in einer Basisversion für alle kostenfrei verfügbar - lediglich Geschäftskunden sollen für zusätzlichen Speicherplatz und weitere Features zahlen. Nutzer der kostenfreien Version können Anhänge mit maximal 1 MB versenden und insgesamt 10 MB Speicherplatz belegen. Anhänge werden nur fünf Tage aufbewahrt. Die Basisversion kann entweder über das Webmail-Interface oder über eine App für iOS- oder Android-Systeme genutzt werden. Das Outlook-Plugin steht nur Nutzern der Business-Variante zur Verfügung. Diese können bis zu 200 MB große Anhänge versenden. Insgesamt dürfen die Nutzer 5 GB Speicherplatz für bis zu 90 Tage nutzen. Für eine Preisauskunft sollen Unternehmen ihren Vodafone-Vertriebsbeauftragten fragen. Die Kommunikations-Metadaten werden von Secure Mail, ähnlich wie bei PGP, nicht verschlüsselt. Sender, Empfänger, Betreff und der Sendezeitpunkt sind also im Klartext lesbar.

Nachtrag vom 7. Dezember 2015, 16:16 Uhr

Vodafone und QSC haben sich mittlerweile bei uns gemeldet und einige der von Ftapi auf unsere Anfrage hin gemachten Angaben richtiggestellt. Tatsächlich werde die Kombination aus RSA und ECB nicht verwendet. Weiter heißt es in einem gemeinsamen Statement von QSC und Vodafone: "Das Verschlüsselungsverfahren von Ftapi ist bereits seit 2010 erprobt und wird von vielen namhaften Unternehmen eingesetzt. Ftapi hat sich zum Ziel gesetzt, Verschlüsselung 'mainstreamtauglich' zu machen, da die bislang am Markt befindlichen Lösungen nicht die nötige Akzeptanz finden, was auch mit der Komplexität des Themas zusammenhängt. Das Produkt Secure E-Mail wurde zudem von der Eurosec GmbH Chiffriertechnik & Sicherheit, einem auf IT-Sicherheit und Kryptographie spezialisierten unabhängigen Unternehmen, auf Herz und Nieren geprüft. Die Aussage auf der Webseite: 'ein gesicherter HTTPS-Kanal mit mindestens einem 128-Bit-SSL-Zertifikat' war ein Fehler, der bereits korrigiert wurde." Wir haben den Artikel entsprechend der Aussagen ergänzt.

 "Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel

eye home zur Startseite
narfomat 08. Dez 2015

das ist so nicht richtig. entscheidend ist, wie warscheinlich es ist, das die person, vor...

Gul2c 07. Dez 2015

Klar sind PGP und S/MIME nicht komplett Ene-zu-Ende, da die Metadaten nicht verschlüsselt...

holminger 05. Dez 2015

Wenn ich daran denke, dass Vodafone aus der Heimat des GCHQ kommt und im Verdacht steht...

huuu 05. Dez 2015

NSA laesst gruessen.. warum sollte mann sich auch steine in weg legen wenn man kiesel...

42bios 05. Dez 2015

+1



Anzeige

Stellenmarkt
  1. State Street Global Exchange (Europe) GmbH, Frankfurt
  2. Online Verlag GmbH Freiburg, Freiburg
  3. R&S Cybersecurity gateprotect GmbH, Hamburg
  4. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen bei München


Anzeige
Blu-ray-Angebote
  1. (u. a. Logan Blu-ray 9,97€, Deadpool Blu-ray 8,97€, Fifty Shades of Grey Blu-ray 11,97€)
  2. (u. a. 5 Blu-rays für 25€)

Folgen Sie uns
       


  1. US-Gerichtsurteil

    Einbetten von Tweets kann Urheberrecht verletzen

  2. Anklage in USA erhoben

    So sollen russische Trollfabriken Trump unterstützt haben

  3. Gerichtsurteil

    Facebook drohen in Belgien bis zu 100 Millionen Euro Strafe

  4. Microsoft

    Windows on ARM ist inkompatibel zu 64-Bit-Programmen

  5. Fehler bei Zwei-Faktor-Authentifizierung

    Facebook will keine Benachrichtigungen per SMS schicken

  6. Europa-SPD

    Milliardenfonds zum Ausbau von Elektrotankstellen gefordert

  7. Carbon Copy Cloner

    APFS-Unterstützung wird wegen Datenverlustgefahr beschränkt

  8. Die Woche im Video

    Spezialeffekte und Spoiler

  9. Virtual RAN

    Telekom und Partner bauen Edge-Computing-Testnetz

  10. Basemental

    Mod erweitert Die Sims 4 um Drogen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Black Panther: Spezialeffekte für Hollywood aus Berlin
Black Panther
Spezialeffekte für Hollywood aus Berlin
  1. Portal Facebook plant zwei smarte Lautsprecher mit Display
  2. Roli Blocks im Test Wenn der Kollege die Geige jaulen lässt
  3. Kaputtes Lizenzmodell MPEG-Gründer sieht Videocodecs in Gefahr

Toshiba-Notebooks: Reverse-Engineering mit Lötkolben und Pseudocode
Toshiba-Notebooks
Reverse-Engineering mit Lötkolben und Pseudocode
  1. Router und Switches Kritische Sicherheitslücke in Cisco ASA wird ausgenutzt
  2. Olympia 2018 Mutmaßlicher Crackerangriff bei Eröffnung in Pyeongchang
  3. Schweiz 800.000 Kundendaten von Swisscom kopiert

Falcon-Heavy-Rakete gestartet: "Verrückte Dinge werden wahr"
Falcon-Heavy-Rakete gestartet
"Verrückte Dinge werden wahr"
  1. Falcon Heavy Mit David Bowie ins Sonnensystem
  2. Raumfahrt SpaceX testet die Triebwerke der Falcon Heavy
  3. Zuma Start erfolgreich, Satellit tot

  1. Re: ++

    Eheran | 19:14

  2. Re: Habe Angst vor der Zukunft

    sic | 19:13

  3. Re: Wasserstoff ist genau wie die SPD...

    thinksimple | 19:12

  4. Re: Problem sitzt in den USA und nicht in Russland

    Sinnfrei | 19:11

  5. Re: Hatte Hillary nicht mehr Stimmen bekommen?

    FreierLukas | 19:04


  1. 16:50

  2. 14:55

  3. 11:55

  4. 19:40

  5. 14:41

  6. 13:45

  7. 13:27

  8. 09:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel