Abo
  • Services:
Anzeige
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen.
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de)

Die Antworten von Ftapi werfen Fragen auf

Insbesondere die Aussage bezüglich RSA und ECB waren dabei problematisch. ECB ist ein Blockmodus, der eigentlich nur für Blockverschlüsselungsalgorithmen wie AES eingesetzt wird. ECB im Zusammenhang mit RSA zu benutzen, ergibt keinen Sinn, da RSA überhaupt nicht direkt zur Datenverschlüsselung genutzt wird. Zudem ist ECB unsicher. In diesem Modus, der auf gar keinen Fall für ernsthafte Verschlüsselungsanwendungen genutzt werden sollte, wird jeder Block eines Datenpakets einzeln mit demselben Schlüssel verschlüsselt - gleicher Ausgangstext führt demnach zu identischem Ciphertext. Bildlich dargestellt wird die Schwäche von ECB oft mit einem verschlüsselten Tux-Pinguin, dessen Umrisse auch nach der Verschlüsselung noch gut erkennbar sind.

Anzeige

Die Aussage, dass AES im CBC-Modus verwendet wird, wirft weitere Fragen auf. CBC selbst ist ein Modus, der lediglich Daten verschlüsselt, aber keine Authentizität der Daten gewährleistet. Ob zusätzlich ein Signaturverfahren zum Einsatz kommt, geht aus den Informationen von Ftapi nicht hervor.

Weiß die Firma, was sie tut?

Die von Vodafone für den Dienst beauftrage Firma Ftapi macht auch auf ihrer Webseite verwirrende Angaben. Etwa die Aussage, dass für die Nutzung der Produkte der Firma "ein gesicherter HTTPS-Kanal mit mindestens einem 128-Bit-SSL-Zertifikat" empfohlen wird, zeugt nicht von umfangreichen Kenntnissen der Kryptografie. Denn für Zertifikate werden asymmetrische Schlüssel verwendet, üblicherweise mit dem RSA-Verfahren. Die sollten mindestens 2048 Bit lang sein. 128 Bit kommen üblicherweise für die eigentliche Transportverschlüsselung bei HTTPS zum Einsatz, die hat jedoch mit dem Zertifikat nichts zu tun. Ftapi hat diese Aussagen auf der Webseite mittlerweile korrigiert.

Der Dienst ist in einer Basisversion für alle kostenfrei verfügbar - lediglich Geschäftskunden sollen für zusätzlichen Speicherplatz und weitere Features zahlen. Nutzer der kostenfreien Version können Anhänge mit maximal 1 MB versenden und insgesamt 10 MB Speicherplatz belegen. Anhänge werden nur fünf Tage aufbewahrt. Die Basisversion kann entweder über das Webmail-Interface oder über eine App für iOS- oder Android-Systeme genutzt werden. Das Outlook-Plugin steht nur Nutzern der Business-Variante zur Verfügung. Diese können bis zu 200 MB große Anhänge versenden. Insgesamt dürfen die Nutzer 5 GB Speicherplatz für bis zu 90 Tage nutzen. Für eine Preisauskunft sollen Unternehmen ihren Vodafone-Vertriebsbeauftragten fragen. Die Kommunikations-Metadaten werden von Secure Mail, ähnlich wie bei PGP, nicht verschlüsselt. Sender, Empfänger, Betreff und der Sendezeitpunkt sind also im Klartext lesbar.

Nachtrag vom 7. Dezember 2015, 16:16 Uhr

Vodafone und QSC haben sich mittlerweile bei uns gemeldet und einige der von Ftapi auf unsere Anfrage hin gemachten Angaben richtiggestellt. Tatsächlich werde die Kombination aus RSA und ECB nicht verwendet. Weiter heißt es in einem gemeinsamen Statement von QSC und Vodafone: "Das Verschlüsselungsverfahren von Ftapi ist bereits seit 2010 erprobt und wird von vielen namhaften Unternehmen eingesetzt. Ftapi hat sich zum Ziel gesetzt, Verschlüsselung 'mainstreamtauglich' zu machen, da die bislang am Markt befindlichen Lösungen nicht die nötige Akzeptanz finden, was auch mit der Komplexität des Themas zusammenhängt. Das Produkt Secure E-Mail wurde zudem von der Eurosec GmbH Chiffriertechnik & Sicherheit, einem auf IT-Sicherheit und Kryptographie spezialisierten unabhängigen Unternehmen, auf Herz und Nieren geprüft. Die Aussage auf der Webseite: 'ein gesicherter HTTPS-Kanal mit mindestens einem 128-Bit-SSL-Zertifikat' war ein Fehler, der bereits korrigiert wurde." Wir haben den Artikel entsprechend der Aussagen ergänzt.

 "Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel

eye home zur Startseite
narfomat 08. Dez 2015

das ist so nicht richtig. entscheidend ist, wie warscheinlich es ist, das die person, vor...

Gul2c 07. Dez 2015

Klar sind PGP und S/MIME nicht komplett Ene-zu-Ende, da die Metadaten nicht verschlüsselt...

holminger 05. Dez 2015

Wenn ich daran denke, dass Vodafone aus der Heimat des GCHQ kommt und im Verdacht steht...

huuu 05. Dez 2015

NSA laesst gruessen.. warum sollte mann sich auch steine in weg legen wenn man kiesel...

42bios 05. Dez 2015

+1



Anzeige

Stellenmarkt
  1. Comline AG, Dortmund
  2. Continental AG, Eschborn, Regensburg
  3. Daimler AG, Hamburg
  4. Vodafone GmbH, Düsseldorf


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Mittelerde Collection 25,97€)
  3. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Umweltbundesamt

    Software-Updates für Diesel reichen nicht

  2. Acer Nitro 5 Spin

    Auf dem Gaming-Convertible spielen und zeichnen

  3. Galaxy Note 8 im Hands on

    Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  4. Microsoft

    Git-Umzug von Windows-Team abgeschlossen

  5. Play Store

    Google entfernt 500 Android-Apps mit 100 Millionen Downloads

  6. DreamHost

    US-Regierung will nun doch keine Daten von Trump-Gegnern

  7. Project Brainwave

    Microsoft beschleunigt KI-Technik mit Cloud-FPGAs

  8. Microsoft

    Im Windows Store gibt es viele illegale Streaming-Apps

  9. Alpha-One

    Lamborghini-Smartphone für über 2.000 Euro vorgestellt

  10. Wireless-AC 9560

    Intel packt WLAN in den Prozessor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Anschlag in Charlottesville: Nazis raus - aber nur aus PR-Gründen
Nach Anschlag in Charlottesville
Nazis raus - aber nur aus PR-Gründen
  1. Bundesinnenministerium Neues Online-Bürgerportal kostet 500 Millionen Euro
  2. EU-Transparenz EuGH bekräftigt nachträglichen Zugang zu Gerichtsakten
  3. Rücknahmepflicht Elektronikschrott wird kaum zurückgegeben

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Vega 64 Strix ausprobiert Asus' Radeon macht fast alles besser
  2. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  3. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte

Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

  1. Re: Dass die Luft in den Städten nicht besser wird...

    thinksimple | 23:20

  2. Re: Eine wirksame Lösung gibt es von der Firma...

    atikalz | 23:19

  3. Re: Was ist mit einem "Update" bei Flugzeugen und...

    atikalz | 23:16

  4. Re: vom Autoschrauber zum Softwarepfuscher

    MoonShade | 23:14

  5. Re: Sind 1000 Euro nicht zu teuer?

    Niaxa | 23:14


  1. 17:51

  2. 17:08

  3. 17:00

  4. 16:55

  5. 16:38

  6. 16:08

  7. 15:54

  8. 14:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel