Workarounds, Updates, Gegenmaßnahmen

Die Electronic Frontier Foundation hat aus Anlass dieser Lücken eine drastische Warnung verfasst: Man sollte Software zur Mailverschlüsselung abschalten oder deinstallieren. Angesichts der unübersichtlichen Situation und der vielen Varianten von Angriffen ist das eine durchaus nachvollziehbare Empfehlung.

Stellenmarkt
  1. Product Owner / Business Process Expert (m/w/d) Retoure
    Lidl Digital, Neckarsulm
  2. Planer (m/w/d) Systemintegration / Software-Absicherung
    Porsche AG, Zuffenhausen
Detailsuche

Da der Angriff auch das Entschlüsseln von Nachrichten aus der Vergangenheit erlaubt, nützt es nichts, zunächst keine verschlüsselten Mails mehr zu verschicken. Entscheidend ist vielmehr, dass man keine eingehenden Mails mit einem möglicherweise verwundbaren Mailclient ansieht.

Zumindest einige der Szenarien lassen sich verhindern, wenn man die Anzeige von HTML-Mails deaktiviert. Doch im Paper sind auch andere Rückkanäle beschrieben, etwa über OCSP-Responder von Zertifikaten. Das betrifft aber nur S/MIME. Zumindest OpenPGP sollte also relativ sicher sein, wenn keine HTML-Mails angezeigt werden.

Robert Hansen, Entwickler der Thunderbird-Erweiterung Enigmail, schreibt auf Twitter, dass in der jüngsten Version bereits einige Probleme behoben seien. Ein Update für Thunderbird selbst ist wohl in Vorbereitung. In jedem Fall ist Nutzern anzuraten, von allen beteiligten Komponenten - Mailclient, Erweiterungen und GnuPG selbst - verfügbare Updates zeitnah zu installieren.

Standards brauchen moderne Verschlüsselung

Golem Karrierewelt
  1. Deep Dive: Data Architecture mit Spark und Cloud Native: virtueller Ein-Tages-Workshop
    01.02.2023, Virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    08.12.2022, Virtuell
Weitere IT-Trainings

Die grundlegenden Probleme mit den Verschlüsselungsmodi in S/MIME und OpenPGP lassen sich nur beheben, wenn man die Standards ändert. Für OpenPGP gibt es einen Entwurf, der die Einführung von echten authentifizierten Verschlüsselungsmodi vorsieht. Diskutiert wird ein Update des OpenPGP-Standards schon seit mehreren Jahren, doch es dürfte noch etwas dauern, bis dieser praktisch zum Einsatz kommt.

Für Cryptographic Message Syntax, das Format, das von S/MIME verwendet wird, gibt es zwar einen Standard zum Einsatz von authentifizierten Verschlüsselungsverfahren, der wird aber wohl bislang nirgends unterstützt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Verschlüsselung nicht authentifiziert
  1.  
  2. 1
  3. 2
  4. 3


mark.wolf 22. Mai 2018

Du solltest Dich mal ein klein wenig mit dem Recht auseinandersetzen. Auch dein...

Auspuffanlage 21. Mai 2018

Hi ich interpretiere das mal so, dass du wissen willst wo es diese Informationen gibt...

joo 17. Mai 2018

-------------------------------------------------------------------------------- +1...

phade 15. Mai 2018

Zumeist Mail von der Seamonkey-Suite (ergo Thunderbird). Nur nutzt das nix, wenn das für...



Aktuell auf der Startseite von Golem.de
Strom
Wie wahrscheinlich ist ein Blackout?

"Blackout" könnte das Wort des Jahres werden, so wird davon gesprochen. Wir klären, ob Deutschland in diesem Winter wirklich seinen ersten derart verheerenden Stromausfall erleben könnte.
Eine Analyse von Gerd Mischler

Strom: Wie wahrscheinlich ist ein Blackout?
Artikel
  1. Bayern: Arbeitszeit von mehr als 10 Stunden am Tag gefordert
    Bayern
    Arbeitszeit von mehr als 10 Stunden am Tag gefordert

    Die bayerische Arbeitsministerin plädiert für mehr Flexibilität am Arbeitsplatz und will mehr als zehn Stunden Arbeit pro Tag erlauben.

  2. Auf alles vorbereitet: der neue Volvo EX90
     
    Auf alles vorbereitet: der neue Volvo EX90

    Volvo will bis 2030 vollelektrisch und bis 2040 klimaneutral werden - der neue Volvo EX90 zeigt, wie das gehen soll: mit einem leistungsstarken elektrischen Antrieb, Laden in zwei Richtungen und einer neuen Software-Plattform, die Sicherheit und Komfort weiter erhöht.
    Sponsored Post von Volvo

  3. Datenleck: Dritte hatten Zugriff auf Nutzerdaten bei Lastpass
    Datenleck
    Dritte hatten Zugriff auf Nutzerdaten bei Lastpass

    Lastpass-CEO Karim Toubba hat die Nutzer des Passwortmanagers über ein Datenleck informiert. Unklar bleibt, welche Daten betroffen sind.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • LG OLED TV (2022) 55" 120Hz 949€ • Mindstar: Geforce RTX 4080 1.449€ • Tiefstpreise: G.Skill 32GB Kitt DDR5-7200 • 351,99€ Crucial SSD 4TB 319€, HTC Vive Pro 2 659€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger [Werbung]
    •  /