• IT-Karriere:
  • Services:

Enigmail/Pep: Klartext-Mails trotz angeblicher Verschlüsselung

Ein Bug in der Pretty-Easy-Privacy-Funktion des Enigmail-Plugins für Thunderbird sorgt dafür, dass manchmal Mails, die eigentlich verschlüsselt sein sollten, unverschlüsselt verschickt werden. Der Bug betrifft nur die Windows-Version von Enigmail.

Artikel veröffentlicht am , Hanno Böck
Sieht verschlüsselt aus, ist aber unsicher: Mails mit der Pep-Funktion in Enigmail
Sieht verschlüsselt aus, ist aber unsicher: Mails mit der Pep-Funktion in Enigmail (Bild: galiciandreamer / flickr/CC-BY-SA 2.0)

In aktuellen Versionen des Enigmail-Plugins für Mozilla Thunderbird wurde von der Zeitschrift c't ein fataler Fehler entdeckt. Das berichtet Heise Online. Der Fehler sorgt dafür, dass unter manchen Umständen Mails unverschlüsselt verschickt werden, obwohl dem Nutzer etwas anderes angezeigt wird.

Stellenmarkt
  1. ING-DiBa AG, Frankfurt am Main
  2. ESG Elektroniksystem- und Logistik-GmbH, Donauwörth

Der Bug betrifft nur Windows-Nutzer und ist in der Funktion Pretty Easy Privacy (Pep), die seit einiger Zeit als Teil von Enigmail mitgeliefert wird. Die soll eigentlich dafür sorgen, dass die Mailverschlüsselung einfacher wird und wenn möglich automatisiert passiert. Enigmail unterstützt dafür einen sogenannten Junior-Modus.

"Sicher & Vertraut"-Anzeige trügerisch

Mails, die im Footer die Anzeige "Privatsphärenstatus: Sicher & Vertraut" hatten, wurden nach den Beobachtungen der c't trotzdem unverschlüsselt verschickt.

Die Entwickler von Pep haben den Fehler inzwischen bestätigt. In welchen Situationen genau das Problem auftritt, geht daraus nicht hervor, allerdings sind scheinbar Mails, die ein Nutzer an sich selbst schickt, besonders häufig betroffen.

Als vorläufigen Workaround empfehlen die Pep-Entwickler, den Junior-Modus auszuschalten und nur die normale Enigmail-Funktionalität zu nutzen. Laut Heise wurde zudem vorläufig eine ältere Version von Pep als aktuelle deklariert. An einer Version mit einer Korrektur wird gearbeitet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 80,99€
  2. (-56%) 17,50€
  3. 3,61€

Folgen Sie uns
       


Oneplus 7T - Fazit

Das Oneplus 7T ist der Nachfolger des Oneplus 7 - und hat einige interessante Hardware-Upgrades bekommen. Im Test von Golem.de schneidet das Smartphone entsprechend gut ab.

Oneplus 7T - Fazit Video aufrufen
Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

Gardena: Open Source, wie es sein soll
Gardena
Open Source, wie es sein soll

Wenn Entwickler mit Zeitdruck nach Lösungen suchen und sich dann für Open Source entscheiden, sollte das anderen als Vorbild dienen, sagen zwei Gardena-Entwickler in einem Vortrag. Der sei auch eine Anleitung dafür, das Management von der Open-Source-Idee zu überzeugen - was auch den Nutzern hilft.
Ein Bericht von Sebastian Grüner

  1. Linux-Kernel Machine-Learning allein findet keine Bugs
  2. KernelCI Der Linux-Kernel bekommt einheitliche Test-Umgebung
  3. Linux-Kernel Selbst Google ist unfähig, Android zu pflegen

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

    •  /