Workarounds, Updates, Gegenmaßnahmen

Die Electronic Frontier Foundation hat aus Anlass dieser Lücken eine drastische Warnung verfasst: Man sollte Software zur Mailverschlüsselung abschalten oder deinstallieren. Angesichts der unübersichtlichen Situation und der vielen Varianten von Angriffen ist das eine durchaus nachvollziehbare Empfehlung.

Stellenmarkt
  1. UI/UX Java Developer (m/f/d)
    IFCO Management GmbH, Munich
  2. Specialist National Real Estate (m/w/x)
    ALDI SÜD Dienstleistungs-SE & Co. oHG, Mülheim an der Ruhr
Detailsuche

Da der Angriff auch das Entschlüsseln von Nachrichten aus der Vergangenheit erlaubt, nützt es nichts, zunächst keine verschlüsselten Mails mehr zu verschicken. Entscheidend ist vielmehr, dass man keine eingehenden Mails mit einem möglicherweise verwundbaren Mailclient ansieht.

Zumindest einige der Szenarien lassen sich verhindern, wenn man die Anzeige von HTML-Mails deaktiviert. Doch im Paper sind auch andere Rückkanäle beschrieben, etwa über OCSP-Responder von Zertifikaten. Das betrifft aber nur S/MIME. Zumindest OpenPGP sollte also relativ sicher sein, wenn keine HTML-Mails angezeigt werden.

Robert Hansen, Entwickler der Thunderbird-Erweiterung Enigmail, schreibt auf Twitter, dass in der jüngsten Version bereits einige Probleme behoben seien. Ein Update für Thunderbird selbst ist wohl in Vorbereitung. In jedem Fall ist Nutzern anzuraten, von allen beteiligten Komponenten - Mailclient, Erweiterungen und GnuPG selbst - verfügbare Updates zeitnah zu installieren.

Standards brauchen moderne Verschlüsselung

Golem Akademie
  1. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
Weitere IT-Trainings

Die grundlegenden Probleme mit den Verschlüsselungsmodi in S/MIME und OpenPGP lassen sich nur beheben, wenn man die Standards ändert. Für OpenPGP gibt es einen Entwurf, der die Einführung von echten authentifizierten Verschlüsselungsmodi vorsieht. Diskutiert wird ein Update des OpenPGP-Standards schon seit mehreren Jahren, doch es dürfte noch etwas dauern, bis dieser praktisch zum Einsatz kommt.

Für Cryptographic Message Syntax, das Format, das von S/MIME verwendet wird, gibt es zwar einen Standard zum Einsatz von authentifizierten Verschlüsselungsverfahren, der wird aber wohl bislang nirgends unterstützt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Verschlüsselung nicht authentifiziert
  1.  
  2. 1
  3. 2
  4. 3


mark.wolf 22. Mai 2018

Du solltest Dich mal ein klein wenig mit dem Recht auseinandersetzen. Auch dein...

Auspuffanlage 21. Mai 2018

Hi ich interpretiere das mal so, dass du wissen willst wo es diese Informationen gibt...

joo 17. Mai 2018

-------------------------------------------------------------------------------- +1...

phade 15. Mai 2018

Zumeist Mail von der Seamonkey-Suite (ergo Thunderbird). Nur nutzt das nix, wenn das für...

Mr Miyagi 15. Mai 2018

Natürlich *kann* es das. GnuPG könnte auch ein Abbild Deiner ganzen Mailbox im Speicehr...



Aktuell auf der Startseite von Golem.de
3D-Druck-Messe Formnext 2021
Raus aus der Nische

3D-Druck wird immer schneller, schöner und effizienter. Die Technologie ist dabei, die Produktion zu revolutionieren und in unseren Alltag einzuziehen.
Ein Bericht von Elias Dinter

3D-Druck-Messe Formnext 2021: Raus aus der Nische
Artikel
  1. K|Lens One: Erstes Lichtfeldobjektiv für Spiegelreflexkameras entwickelt
    K|Lens One
    Erstes Lichtfeldobjektiv für Spiegelreflexkameras entwickelt

    Das Spin-off eines Max-Planck-Instituts hat ein Lichtfeldobjektiv für herkömmliche DSLRs entwickelt. Auf Kickstarter kann es unterstützt werden.

  2. Fleet: Jetbrains bringt neuen leichtgewichtigen Editor
    Fleet
    Jetbrains bringt neuen leichtgewichtigen Editor

    Die IDE-Spezialisten von Jetbrains reagieren auf den Druck durch Visual Studio Code. Zudem gibt es nun Remote-Entwicklung.

  3. KI sagt Bundeswehr das Weltraumwetter voraus
     
    KI sagt Bundeswehr das Weltraumwetter voraus

    Viele Firmen haben längst den Nutzen künstlicher Intelligenz (KI) für ihre Geschäftsmodelle erkannt. Wie die Bundeswehr KI wirksam einsetzen könnte, erprobt sie mit der BWI als Digitalisierungspartner.
    Sponsored Post von BWI

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Crucial-SSDs zu Bestpreisen • Nur noch heute: Bis zu 75% auf Switch-Spiele • G.Skill 64GB Kit 3800MHz 319€ • Bis zu 300€ Direktabzug auf TVs, Laptops uvm. bei MM/Saturn • Blizzard-Geschenkkarten • Alternate (u. a. Biostar Mainboard 64,90€) • Xbox Series S 275,99€ [Werbung]
    •  /