Abo
  • Services:
Anzeige
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen.
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de)

"Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel

Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen.
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de)

Vodafones neuer E-Mail-Dienst Secure E-Mail soll den Austausch verschlüsselter E-Mails kinderleicht machen. Das Unternehmen macht jedoch in seiner Ankündigung kaum Angaben zur Sicherheit der verwendeten Verfahren. Deshalb haben wir nachgefragt - und sind verwirrt.
Von Hanno Böck und Hauke Gierow

Mit Secure E-Mail hat Vodafone einen neuen Dienst vorgestellt, der eine unkomplizierte Ende-zu-Ende-Verschlüsselung von E-Mails ermöglichen soll. Nutzer müssen sich dafür mit einer E-Mail-Adresse und einer Handynummer registrieren und können wahlweise eine App, eine Webmail-Oberfläche oder ein kostenpflichtiges Outlook-Plugin benutzen. Doch der Dienst wirft in puncto Sicherheit viele Fragen auf.

Anzeige

Als Verschlüsselungslösung nutzt Vodafone ein System der Münchner Firma Ftapi, die zu dem deutschen IT-Dienstleister QSC gehört. Dabei wird kein standardisiertes Protokoll wie OpenPGP oder S/MIME eingesetzt, vielmehr setzt Ftapi offenbar auf eine selbsterstellte Verschlüsselungslösung. Das System ist damit inkompatibel zu bestehenden Lösungen, lediglich untereinander können Nutzer damit kommunizieren. Als Grundlage verwenden die Macher offensichtlich die Java-Implementation der offenen Crypto-API Bouncy Castle, wie die Release-Notes des Outlook-Plugins nahelegen. Ftapi vermarktet das System unabhängig von der Kooperation mit Vodafone unter dem Namen Cryptoberg. Wie sicher dieses ist, lässt sich schwer beurteilen, denn Informationen dazu sind auf der Webseite kaum zu finden. Lediglich ein paar Allgemeinplätze und die Auskunft, dass das Protokoll AES und RSA benutzt, gibt es dort.

Wir haben bei Ftapi nach Details zu dem verwendeten Protokoll gefragt. In einem ursprünglichen Statement sagte ein Ftapi-Sprecher, dass AES im CBC-Modus und RSA im ECB-Modus zum Einsatz komme. Diese Aussage wurde von der Mutterfirma QSC und Vodafone mittlerweile teilweise korrigiert: RSA werde nicht gemeinsam mit ECB verwendet. Außerdem erfolge der Datentransfer über HTTPS. Das stellt zumindest auf der Transportebene eine zusätzliche Absicherung dar. Die generierten Schlüssel werden mit dem Passwort der Nutzer verschlüsselt und auf einem Vodafone-Server hinterlegt - bei Bedarf rufen App, Outlook-Plugin oder der Webmailer dann den geheimen Schlüssel ab und entschlüsseln ihn lokal auf dem Gerät der Nutzer.

Die Antworten von Ftapi werfen Fragen auf 

eye home zur Startseite
narfomat 08. Dez 2015

das ist so nicht richtig. entscheidend ist, wie warscheinlich es ist, das die person, vor...

Gul2c 07. Dez 2015

Klar sind PGP und S/MIME nicht komplett Ene-zu-Ende, da die Metadaten nicht verschlüsselt...

holminger 05. Dez 2015

Wenn ich daran denke, dass Vodafone aus der Heimat des GCHQ kommt und im Verdacht steht...

huuu 05. Dez 2015

NSA laesst gruessen.. warum sollte mann sich auch steine in weg legen wenn man kiesel...

42bios 05. Dez 2015

+1



Anzeige

Stellenmarkt
  1. IT2media GmbH & Co. KG, Nürnberg
  2. SCHOTT AG, Mainz
  3. DR.SCHNELL Chemie GmbH über J&P GmbH, München
  4. FLYERALARM GmbH, Würzburg


Anzeige
Spiele-Angebote
  1. 2,99€
  2. ab 59,99€ (Vorbesteller-Preisgarantie)
  3. 15,99€

Folgen Sie uns
       


  1. Sicherheitslücke

    Caches von CDN-Netzwerken führen zu Datenleck

  2. Open Source

    Microsoft tritt Cloud Native Computing Foundation bei

  3. Q6

    LGs abgespecktes G6 kostet 350 Euro

  4. Google

    Youtube Red und Play Music fusionieren zu neuem Dienst

  5. Facebook Marketplace

    Facebooks Verkaufsplattform kommt nach Deutschland

  6. Ryzen 3 1300X und 1200 im Test

    Harte Gegner für Intels Core i3

  7. Profitbricks

    United Internet kauft Berliner Cloud-Anbieter

  8. Lipizzan

    Google findet neue Staatstrojaner-Familie für Android

  9. Wolfenstein 2 angespielt

    Stahlskelett und Erdbeermilch

  10. Streaming

    Facebooks TV-Shows sollen im August starten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Poets One im Test: Kleiner Preamp, großer Sound
Poets One im Test
Kleiner Preamp, großer Sound
  1. Dunkirk Interstellar-Regisseur setzt weiter auf 70mm statt 4K
  2. Umfrage Viele wollen weg von DVB-T2
  3. DVB-T2 Freenet TV will wohl auch über Astra ausstrahlen

Shipito: Mit wenigen Mausklicks zur US-Postadresse
Shipito
Mit wenigen Mausklicks zur US-Postadresse
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland

  1. Re: braucht man für diesen store...

    Rulf | 20:50

  2. Re: Der Illusionist

    oxybenzol | 20:49

  3. Re: Erster Eindruck..

    Some0NE | 20:44

  4. Re: Braucht man das?

    Rulf | 20:43

  5. Re: Welche GPU?

    ArcherV | 20:41


  1. 18:56

  2. 17:35

  3. 16:44

  4. 16:27

  5. 15:00

  6. 15:00

  7. 14:45

  8. 14:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel