• IT-Karriere:
  • Services:

Workarounds, Updates, Gegenmaßnahmen

Die Electronic Frontier Foundation hat aus Anlass dieser Lücken eine drastische Warnung verfasst: Man sollte Software zur Mailverschlüsselung abschalten oder deinstallieren. Angesichts der unübersichtlichen Situation und der vielen Varianten von Angriffen ist das eine durchaus nachvollziehbare Empfehlung.

Stellenmarkt
  1. über eTec Consult GmbH, Dreieck Frankfurt - Darmstadt - Hanau
  2. LÖWEN ENTERTAINMENT GmbH, Bingen am Rhein (Großraum Mainz)

Da der Angriff auch das Entschlüsseln von Nachrichten aus der Vergangenheit erlaubt, nützt es nichts, zunächst keine verschlüsselten Mails mehr zu verschicken. Entscheidend ist vielmehr, dass man keine eingehenden Mails mit einem möglicherweise verwundbaren Mailclient ansieht.

Zumindest einige der Szenarien lassen sich verhindern, wenn man die Anzeige von HTML-Mails deaktiviert. Doch im Paper sind auch andere Rückkanäle beschrieben, etwa über OCSP-Responder von Zertifikaten. Das betrifft aber nur S/MIME. Zumindest OpenPGP sollte also relativ sicher sein, wenn keine HTML-Mails angezeigt werden.

Robert Hansen, Entwickler der Thunderbird-Erweiterung Enigmail, schreibt auf Twitter, dass in der jüngsten Version bereits einige Probleme behoben seien. Ein Update für Thunderbird selbst ist wohl in Vorbereitung. In jedem Fall ist Nutzern anzuraten, von allen beteiligten Komponenten - Mailclient, Erweiterungen und GnuPG selbst - verfügbare Updates zeitnah zu installieren.

Standards brauchen moderne Verschlüsselung

Die grundlegenden Probleme mit den Verschlüsselungsmodi in S/MIME und OpenPGP lassen sich nur beheben, wenn man die Standards ändert. Für OpenPGP gibt es einen Entwurf, der die Einführung von echten authentifizierten Verschlüsselungsmodi vorsieht. Diskutiert wird ein Update des OpenPGP-Standards schon seit mehreren Jahren, doch es dürfte noch etwas dauern, bis dieser praktisch zum Einsatz kommt.

Für Cryptographic Message Syntax, das Format, das von S/MIME verwendet wird, gibt es zwar einen Standard zum Einsatz von authentifizierten Verschlüsselungsverfahren, der wird aber wohl bislang nirgends unterstützt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Verschlüsselung nicht authentifiziert
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Top-Angebote
  1. (u. a. Wochenangebote mit Ubisoft (u. a. Far Cry 5 - Gold Edition für 16,99€, Far Cry: Primal...
  2. 49,46€ (inkl. 10€ Direktabzug - Bestpreis!)
  3. (u. a. Lexar NS10 Lite SATA-SSD 240GB für 19,99€, Lexar JumpDrive S57 USB-Stick 128GB für 9...
  4. (u. a. Kensington Pro Fit Mid Size CL OPT U Maus für 17,49€, SPC Gear LIX Gaming-Maus für 22...

mark.wolf 22. Mai 2018

Du solltest Dich mal ein klein wenig mit dem Recht auseinandersetzen. Auch dein...

Auspuffanlage 21. Mai 2018

Hi ich interpretiere das mal so, dass du wissen willst wo es diese Informationen gibt...

joo 17. Mai 2018

-------------------------------------------------------------------------------- +1...

phade 15. Mai 2018

Zumeist Mail von der Seamonkey-Suite (ergo Thunderbird). Nur nutzt das nix, wenn das für...

Mr Miyagi 15. Mai 2018

Natürlich *kann* es das. GnuPG könnte auch ein Abbild Deiner ganzen Mailbox im Speicehr...


Folgen Sie uns
       


    •  /