"Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel

Vodafones neuer E-Mail-Dienst Secure E-Mail soll den Austausch verschlüsselter E-Mails kinderleicht machen. Das Unternehmen macht jedoch in seiner Ankündigung kaum Angaben zur Sicherheit der verwendeten Verfahren. Deshalb haben wir nachgefragt - und sind verwirrt.

Artikel von Hanno Böck und veröffentlicht am
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen.
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de)

Mit Secure E-Mail hat Vodafone einen neuen Dienst vorgestellt, der eine unkomplizierte Ende-zu-Ende-Verschlüsselung von E-Mails ermöglichen soll. Nutzer müssen sich dafür mit einer E-Mail-Adresse und einer Handynummer registrieren und können wahlweise eine App, eine Webmail-Oberfläche oder ein kostenpflichtiges Outlook-Plugin benutzen. Doch der Dienst wirft in puncto Sicherheit viele Fragen auf.

Inhalt:
  1. "Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel
  2. Die Antworten von Ftapi werfen Fragen auf

Als Verschlüsselungslösung nutzt Vodafone ein System der Münchner Firma Ftapi, die zu dem deutschen IT-Dienstleister QSC gehört. Dabei wird kein standardisiertes Protokoll wie OpenPGP oder S/MIME eingesetzt, vielmehr setzt Ftapi offenbar auf eine selbsterstellte Verschlüsselungslösung. Das System ist damit inkompatibel zu bestehenden Lösungen, lediglich untereinander können Nutzer damit kommunizieren. Als Grundlage verwenden die Macher offensichtlich die Java-Implementation der offenen Crypto-API Bouncy Castle, wie die Release-Notes des Outlook-Plugins nahelegen. Ftapi vermarktet das System unabhängig von der Kooperation mit Vodafone unter dem Namen Cryptoberg. Wie sicher dieses ist, lässt sich schwer beurteilen, denn Informationen dazu sind auf der Webseite kaum zu finden. Lediglich ein paar Allgemeinplätze und die Auskunft, dass das Protokoll AES und RSA benutzt, gibt es dort.

Wir haben bei Ftapi nach Details zu dem verwendeten Protokoll gefragt. In einem ursprünglichen Statement sagte ein Ftapi-Sprecher, dass AES im CBC-Modus und RSA im ECB-Modus zum Einsatz komme. Diese Aussage wurde von der Mutterfirma QSC und Vodafone mittlerweile teilweise korrigiert: RSA werde nicht gemeinsam mit ECB verwendet. Außerdem erfolge der Datentransfer über HTTPS. Das stellt zumindest auf der Transportebene eine zusätzliche Absicherung dar. Die generierten Schlüssel werden mit dem Passwort der Nutzer verschlüsselt und auf einem Vodafone-Server hinterlegt - bei Bedarf rufen App, Outlook-Plugin oder der Webmailer dann den geheimen Schlüssel ab und entschlüsseln ihn lokal auf dem Gerät der Nutzer.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Die Antworten von Ftapi werfen Fragen auf 
  1. 1
  2. 2
  3.  


narfomat 08. Dez 2015

das ist so nicht richtig. entscheidend ist, wie warscheinlich es ist, das die person, vor...

Gul2c 07. Dez 2015

Klar sind PGP und S/MIME nicht komplett Ene-zu-Ende, da die Metadaten nicht verschlüsselt...

holminger 05. Dez 2015

Wenn ich daran denke, dass Vodafone aus der Heimat des GCHQ kommt und im Verdacht steht...

huuu 05. Dez 2015

NSA laesst gruessen.. warum sollte mann sich auch steine in weg legen wenn man kiesel...



Aktuell auf der Startseite von Golem.de
Kitty Lixo
Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten

Laut einer Sexdarstellerin muss man nur die richtigen Leute bei Facebook sehr intim kennen, um seinen Instagram-Account immer wieder zurückzubekommen.

Kitty Lixo: Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten
Artikel
  1. Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern
    Ebay-Kleinanzeigen
    Im Chat mit den Phishing-Betrügern

    Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.
    Ein Bericht von Friedhelm Greis

  2. Musikstreaming: Audi bringt Apple Music ins Auto
    Musikstreaming
    Audi bringt Apple Music ins Auto

    Audi integriert den Streamingdienst Apple Music in das Infotainmentsystem seiner Fahrzeuge. Ein Smartphone-Kopplung ist nicht notwendig.

  3. Autos: Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein
    Autos
    Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein

    Mercedes definiert sich neu als Luxuskonzern. Das könnte auch das Ende für die Einsteiger-Modelle bedeuten, weil mit diesen kaum Geld zu verdienen ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /