"Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel

Vodafones neuer E-Mail-Dienst Secure E-Mail soll den Austausch verschlüsselter E-Mails kinderleicht machen. Das Unternehmen macht jedoch in seiner Ankündigung kaum Angaben zur Sicherheit der verwendeten Verfahren. Deshalb haben wir nachgefragt - und sind verwirrt.

Artikel von Hanno Böck und veröffentlicht am
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen.
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de)

Mit Secure E-Mail hat Vodafone einen neuen Dienst vorgestellt, der eine unkomplizierte Ende-zu-Ende-Verschlüsselung von E-Mails ermöglichen soll. Nutzer müssen sich dafür mit einer E-Mail-Adresse und einer Handynummer registrieren und können wahlweise eine App, eine Webmail-Oberfläche oder ein kostenpflichtiges Outlook-Plugin benutzen. Doch der Dienst wirft in puncto Sicherheit viele Fragen auf.

Inhalt:
  1. "Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel
  2. Die Antworten von Ftapi werfen Fragen auf

Als Verschlüsselungslösung nutzt Vodafone ein System der Münchner Firma Ftapi, die zu dem deutschen IT-Dienstleister QSC gehört. Dabei wird kein standardisiertes Protokoll wie OpenPGP oder S/MIME eingesetzt, vielmehr setzt Ftapi offenbar auf eine selbsterstellte Verschlüsselungslösung. Das System ist damit inkompatibel zu bestehenden Lösungen, lediglich untereinander können Nutzer damit kommunizieren. Als Grundlage verwenden die Macher offensichtlich die Java-Implementation der offenen Crypto-API Bouncy Castle, wie die Release-Notes des Outlook-Plugins nahelegen. Ftapi vermarktet das System unabhängig von der Kooperation mit Vodafone unter dem Namen Cryptoberg. Wie sicher dieses ist, lässt sich schwer beurteilen, denn Informationen dazu sind auf der Webseite kaum zu finden. Lediglich ein paar Allgemeinplätze und die Auskunft, dass das Protokoll AES und RSA benutzt, gibt es dort.

Wir haben bei Ftapi nach Details zu dem verwendeten Protokoll gefragt. In einem ursprünglichen Statement sagte ein Ftapi-Sprecher, dass AES im CBC-Modus und RSA im ECB-Modus zum Einsatz komme. Diese Aussage wurde von der Mutterfirma QSC und Vodafone mittlerweile teilweise korrigiert: RSA werde nicht gemeinsam mit ECB verwendet. Außerdem erfolge der Datentransfer über HTTPS. Das stellt zumindest auf der Transportebene eine zusätzliche Absicherung dar. Die generierten Schlüssel werden mit dem Passwort der Nutzer verschlüsselt und auf einem Vodafone-Server hinterlegt - bei Bedarf rufen App, Outlook-Plugin oder der Webmailer dann den geheimen Schlüssel ab und entschlüsseln ihn lokal auf dem Gerät der Nutzer.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Die Antworten von Ftapi werfen Fragen auf 
  1. 1
  2. 2
  3.  
Verwandte Artikel
artikel-bild
Verschlüsselte Kommunikation
Vodafone stellt Secure E-Mail ein
artikel-bild
ROBOT-Angriff
Arbeitsagentur nutzt uralte Cisco-Geräte
artikel-bild
Asynchronous Ratcheting Tree
Facebook demonstriert sicheren Gruppenchat für Apps
Meistgelesen
artikel-bild
Vermona
Zufall und Synthesizer
artikel-bild
Sci-Fi der 60er und 70er
Die großen fünf Visionäre
artikel-bild
Warnmeldungen
Rund alle 36 Stunden ein Alarm per Cell Broadcast
Kommentarübersicht
Re: Wenn sich jeder an diese Regel halten würde...
narfomat 08. Dez 2015

das ist so nicht richtig. entscheidend ist, wie warscheinlich es ist, das die person, vor...

CJDNS: Das geforderte (neue) Protokoll
Gul2c 07. Dez 2015

Klar sind PGP und S/MIME nicht komplett Ene-zu-Ende, da die Metadaten nicht verschlüsselt...

Das neue Protokoll macht schon irgendwie Sinn.
holminger 05. Dez 2015

Wenn ich daran denke, dass Vodafone aus der Heimat des GCHQ kommt und im Verdacht steht...

Re: Ausgerechnet Vodafone macht einen auf "secure"
huuu 05. Dez 2015

NSA laesst gruessen.. warum sollte mann sich auch steine in weg legen wenn man kiesel...

Aktuell auf der Startseite von Golem.de
Warnmeldungen
Rund alle 36 Stunden ein Alarm per Cell Broadcast

Zwischenfazit nach 100 Tagen: Bislang wurden bundesweit 77 Alarmmeldungen per Cell Broadcast übertragen.

Warnmeldungen: Rund alle 36 Stunden ein Alarm per Cell Broadcast
Artikel
  1. Vermona: Zufall und Synthesizer
    Vermona
    Zufall und Synthesizer

    Wie aus einem großen DDR-Staatsbetrieb ein erfolgreicher kleiner Hersteller von analogen Synthies wurde.
    Von Martin Wolf

  2. Digitalisierung: Behörde bekommt weniger Beschwerden über Faxwerbung
    Digitalisierung
    Behörde bekommt weniger Beschwerden über Faxwerbung

    Naht allmählich das Ende der Technologie? Die Bundesnetzagentur hat 2022 viel weniger Beschwerden über Fax-Spam bekommen als im Jahr zuvor.

  3. Ceconomy AG: Media Markt plant offenbar Reparaturabo
    Ceconomy AG
    Media Markt plant offenbar Reparaturabo

    Egal wo die Ware gekauft wurde: Bei Media Markt soll man künftig seine Elektronikgeräte reparieren lassen können - mit einem zweistufigem Abo.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • SanDisk Ultra NVMe 1 TB ab 39,99€ • Samsung 980 1 TB 45€ • MindStar: be quiet! Pure Base 500 69€, MSI MPG B550 Gaming Plus 99,90€, Palit RTX 4070 GamingPro 666€, AMD Ryzen 9 7950X3D 699€ • Corsair DDR4-3600 16 GB 39,90€ • KFA2 RTX 3060 Ti 329,99€ • Kingston Fury 2 TB 129,91€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /