Abo
  • IT-Karriere:

Trollen mit Pep

Um für die Nutzer die E-Mail-Verschlüsselung besonders einfach zu gestalten, übernimmt Pep die komplette Schlüsselverwaltung. Jeder gesendeten E-Mail wird der generierte Pep-Schlüssel automatisch angehängt. Nutzt auch der Empfänger die Software, antwortet dessen Pep automatisch mit seinem Schlüssel. Allerdings werden nicht nur diese automatisch ausgetauschten Schlüssel angenommen, sondern jeder Schlüssel im Anhang einer E-Mail.

Stellenmarkt
  1. ING-DiBa AG, Frankfurt am Main
  2. Lufthansa Industry Solutions AS GmbH, Norderstedt, Raunheim

Ich generiere GPG-Schlüssel für verschiedene E-Mail-Adressen mit unterschiedlichen Domainendungen und sende sie als E-Mail-Anhang an eine Thunderbird-Installation mit Enigmail im Junior-Modus. Dort öffne ich die E-Mails und sehe - nichts. Thunderbird zeigt mir ungewöhnlicherweise nicht einmal an, dass die E-Mails einen Anhang enthalten. Die Schlüssel werden förmlich vor dem Nutzer versteckt, tauchen aber anschließend - vollautomatisch - in der Schlüsselverwaltung von Enigmail und im Schlüsselspeicher von GPG auf. Selbst ein Schlüssel für das Empfängerkonto, für das Pep bereits Schlüssel erstellt hat, wird ungefragt angenommen.

Wurde bereits verschlüsselt mit einer E-Mail-Adresse kommuniziert und ein Schlüsselaustausch durchgeführt, speichert Pep zwar meine untergejubelten Schlüssel, verwendet sie jedoch nicht. Bei allen E-Mail-Adressen, bei denen das nicht der Fall ist, werden die untergejubelten Schlüssel verwendet. Sei es, weil noch kein Schlüsselaustausch stattgefunden hat oder weil die betreffende E-Mail-Adresse keine Verschlüsselung mit GPG unterstützt. Diesen Mailadressen sendet der Nutzer automatisch unlesbare - weil mit meinen Schlüsseln verschlüsselte - E-Mails.

Zu einem Sicherheitsproblem dürfte es hier zwar nur im Einzelfall kommen, allerdings eignet sich Pep wunderbar, um Leute zu trollen.

Dieser Automatismus kann jedoch an einer anderen Stelle zu Sicherheitsproblemen führen: GPG wird nicht nur zum Verschlüsseln von E-Mails eingesetzt, sondern auch zum Signieren von Software. Beispielsweise lässt sich mittels der Signaturen vor der Installation einer Nextcloud oder des Tor-Browsers überprüfen, ob die Software auf dem Weg mit einem Trojaner infiziert wurde. Über Pep könnten Nutzern gefälschte Schlüssel von Nextcloud, dem Tor-Projekt oder anderen Softwareprojekten untergeschoben werden. Wird die heruntergeladene Software auf dem Weg verändert und mit den gefälschten Schlüsseln signiert, könnten sich die Nutzer Schadsoftware einfangen - auch wenn sie die Software überprüft haben.

Nutzer wollen gefragt werden

Der Schlüsselaustausch ist immer ein kritischer Punkt von Public-Key-Kryptografie, an dem beispielsweise Man-in-the-Middle-Attacken (MitM) ansetzen können. Mit diesen werden die Schlüssel von beiden Kommunikationspartnern abgefangen und ausgetauscht. Dieses zentrale Problem löst Pep nicht, sondern automatisiert es.

Letztlich nimmt Pep Nutzern vor allem jede Menge Kontrolle aus der Hand und stellt kaum Fragen. Möchtest du Pep verwenden? Möchtest du diesen Schlüssel importieren? Diese Fragen sollte Pep den Nutzern stellen, statt den gesamten Verschlüsselungsprozess vor ihnen zu verstecken.

Am Ende erreicht Pep nicht einmal sein originäres Ziel. Die verschiedenen Betriebs-Modi und Automatismen vereinfachen das Leben des Nutzers nicht. Im Gegenteil, es verwirrt sie, untergräbt ihre Entscheidungen und damit ihre Sicherheit. In meinem Umfeld hat Pep bisher vor allem eins geschafft: Zu nerven und zu verunsichern. Die Freude war meist dann am größten, wenn die Option zum Deaktivieren von Pep gefunden wurde. Eine absichtlich mit Pep verschlüsselte E-Mail habe ich noch nicht erhalten.

 Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 4,99€
  3. 4,19€

Urs E. 07. Jun 2019 / Themenstart

Sehr problematisch, so ein Artikel. Denn immerhin schafft es p=p Leute wie mich erneut zu...

vecirex 31. Mai 2019 / Themenstart

Es geht bei dieser Prämisse nicht um automatisiertes Vertrauen, sondern automatisierte...

ErwinL 31. Mai 2019 / Themenstart

Beglaubigen, Bestätigen, Verifizieren, Signieren, Zertifizieren Key/Schlüssel, Signatur...

ralf.wenzel 31. Mai 2019 / Themenstart

Mehrere Personen nutzen verschiedene Hardware für E-Mails. Gar nicht so selten. Ralf

ikhaya 30. Mai 2019 / Themenstart

"Für sichere Kommunikation gibt es andere Systeme, die ihrerseits gut funktionieren." Is...

Kommentieren


Folgen Sie uns
       


Doom 1 in der Doom 3 Engine angespielt

Doom Reborn benötigt eine Vollversion von Doom 3 und ist bei moddb.com kostenlos erhältlich. Die Mod wurde von Michael Hanlon entwickelt.

Doom 1 in der Doom 3 Engine angespielt Video aufrufen
CO2-Emissionen und Lithium: Ist das Elektroauto wirklich ein Irrweg?
CO2-Emissionen und Lithium
Ist das Elektroauto wirklich ein Irrweg?

In den vergangenen Monaten ist die Kritik an batteriebetriebenen Elektroautos stärker geworden. Golem.de hat sich die Argumente der vielen Kritiker zur CO2-Bilanz und zum Rohstoff-Abbau einmal genauer angeschaut.
Eine Analyse von Friedhelm Greis

  1. Reichweitenangst Mit dem E-Auto von China nach Deutschland
  2. Ari 458 Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
  3. Nobe 100 Dreirädriges Retro-Elektroauto parkt senkrecht an der Wand

Super Mario Maker 2 & Co.: Vom Spieler zum Gamedesigner
Super Mario Maker 2 & Co.
Vom Spieler zum Gamedesigner

Dreams, Overwatch Workshop und Super Mario Maker 2: Editoren für Computerspiele werden immer mächtiger, inzwischen können auch Einsteiger komplexe Welten bauen. Ein Überblick.
Von Achim Fehrenbach

  1. Nintendo Switch Wenn die Analogsticks wandern
  2. Nintendo Akku von überarbeiteter Switch schafft bis zu 9 Stunden
  3. Hybridkonsole Nintendo überarbeitet offenbar Komponenten der Switch

In eigener Sache: Zeig's uns!
In eigener Sache
Zeig's uns!

Golem kommt zu dir: Golem.de möchte noch mehr darüber wissen, was IT-Profis in ihrem Berufsalltag umtreibt. Dafür begleitet jeder unserer Redakteure eine Woche lang ein IT-Team eines Unternehmens. Welches? Dafür bitten wir um Vorschläge.

  1. In eigener Sache Golem.de bietet Seminar zu TLS an
  2. In eigener Sache ITler und Board kommen zusammen
  3. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht

    •  /