Abo
  • Services:
Anzeige
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen.
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de)

"Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel

Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen.
Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de)

Vodafones neuer E-Mail-Dienst Secure E-Mail soll den Austausch verschlüsselter E-Mails kinderleicht machen. Das Unternehmen macht jedoch in seiner Ankündigung kaum Angaben zur Sicherheit der verwendeten Verfahren. Deshalb haben wir nachgefragt - und sind verwirrt.
Von Hanno Böck und Hauke Gierow

Mit Secure E-Mail hat Vodafone einen neuen Dienst vorgestellt, der eine unkomplizierte Ende-zu-Ende-Verschlüsselung von E-Mails ermöglichen soll. Nutzer müssen sich dafür mit einer E-Mail-Adresse und einer Handynummer registrieren und können wahlweise eine App, eine Webmail-Oberfläche oder ein kostenpflichtiges Outlook-Plugin benutzen. Doch der Dienst wirft in puncto Sicherheit viele Fragen auf.

Anzeige

Als Verschlüsselungslösung nutzt Vodafone ein System der Münchner Firma Ftapi, die zu dem deutschen IT-Dienstleister QSC gehört. Dabei wird kein standardisiertes Protokoll wie OpenPGP oder S/MIME eingesetzt, vielmehr setzt Ftapi offenbar auf eine selbsterstellte Verschlüsselungslösung. Das System ist damit inkompatibel zu bestehenden Lösungen, lediglich untereinander können Nutzer damit kommunizieren. Als Grundlage verwenden die Macher offensichtlich die Java-Implementation der offenen Crypto-API Bouncy Castle, wie die Release-Notes des Outlook-Plugins nahelegen. Ftapi vermarktet das System unabhängig von der Kooperation mit Vodafone unter dem Namen Cryptoberg. Wie sicher dieses ist, lässt sich schwer beurteilen, denn Informationen dazu sind auf der Webseite kaum zu finden. Lediglich ein paar Allgemeinplätze und die Auskunft, dass das Protokoll AES und RSA benutzt, gibt es dort.

Wir haben bei Ftapi nach Details zu dem verwendeten Protokoll gefragt. In einem ursprünglichen Statement sagte ein Ftapi-Sprecher, dass AES im CBC-Modus und RSA im ECB-Modus zum Einsatz komme. Diese Aussage wurde von der Mutterfirma QSC und Vodafone mittlerweile teilweise korrigiert: RSA werde nicht gemeinsam mit ECB verwendet. Außerdem erfolge der Datentransfer über HTTPS. Das stellt zumindest auf der Transportebene eine zusätzliche Absicherung dar. Die generierten Schlüssel werden mit dem Passwort der Nutzer verschlüsselt und auf einem Vodafone-Server hinterlegt - bei Bedarf rufen App, Outlook-Plugin oder der Webmailer dann den geheimen Schlüssel ab und entschlüsseln ihn lokal auf dem Gerät der Nutzer.

Die Antworten von Ftapi werfen Fragen auf 

eye home zur Startseite
narfomat 08. Dez 2015

das ist so nicht richtig. entscheidend ist, wie warscheinlich es ist, das die person, vor...

Gul2c 07. Dez 2015

Klar sind PGP und S/MIME nicht komplett Ene-zu-Ende, da die Metadaten nicht verschlüsselt...

holminger 05. Dez 2015

Wenn ich daran denke, dass Vodafone aus der Heimat des GCHQ kommt und im Verdacht steht...

huuu 05. Dez 2015

NSA laesst gruessen.. warum sollte mann sich auch steine in weg legen wenn man kiesel...

42bios 05. Dez 2015

+1



Anzeige

Stellenmarkt
  1. OPITZ CONSULTING Deutschland GmbH, verschiedene Standorte
  2. Engelhorn KGaA, Mannheim
  3. HIT Hanseatische Inkasso-Treuhand GmbH, Hamburg
  4. via 3C - Career Consulting Company GmbH, München, Frankfurt, Hamburg, Düsseldorf, Berlin (Home-Office)


Anzeige
Hardware-Angebote

Folgen Sie uns
       


  1. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  2. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  3. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  4. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  5. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  6. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  7. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  8. Oracle

    Java SE 9 und Java EE 8 gehen live

  9. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  10. Streaming

    Update für Fire TV bringt Lupenfunktion



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

  1. Re: As usual

    Trockenobst | 19:13

  2. Re: 190.000 Euro sollen an den TÜV für eine...

    mnehm1 | 19:10

  3. Re: Wieviel Energie benötigt es, um von Europa...

    voxeldesert | 19:06

  4. Re: Das ist ein Fehler

    GangnamStyle | 19:04

  5. Re: Gab es irgendjemanden

    gakusei | 19:04


  1. 17:43

  2. 17:25

  3. 16:55

  4. 16:39

  5. 16:12

  6. 15:30

  7. 15:06

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel