OpenPGP

Schloss vor einer Datenwand (Symbolbild) (Bild: pixabay.com / TheDigitalArtist) (pixabay.com / TheDigitalArtist)

Proton Mail: Lücke in OpenPGP.js gefährdet verschlüsselten E-Mail-Verkehr

Wer OpenPGP.js verwendet, sollte die Bibliothek dringend aktualisieren. Angreifer können verschlüsselte und/oder signierte Nachrichten fälschen.

3 Kommentare

Die Verschlüsselung für E-Mail könnte sich künftig in unterschiedliche Richtungen entwickeln. (Bild: Pixabay) (Pixabay)

LibrePGP: GnuPG-Gründer startet OpenPGP-Fork

Streitereien um die Erneuerungen des OpenPGP-Standards führen zu einen Fork und damit wohl vorerst zu einer Trennung der freien PGP-Implementierungen.

27 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Fortgeschrittene Python-Techniken in der Anwendung

zum Artikel

Karriere Ratgeber: Wer krank zur Arbeit geht, zahlt wochenlang dafür

zum Ratgeber

Seminar: LPIC-1 Vorbereitungskurs LPI 101 und LPI 102: virtueller Fünf-Tage-Workshop

zum Kurs

E-Learning: Linux für Junior System Administratoren (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Bibliotheksinformatiker*in Hochschule für Angewandte Wissenschaften Hamburg, Hamburg (öffnet im neuen Fenster)

Gruppenleitung Enterprise Application (m/w/d) Steag Iqony Group, Essen (öffnet im neuen Fenster)

Softwareentwickler*in - Schwerpunkt Steuerung (m/w/d) über experteer GmbH, Bad Tölz (öffnet im neuen Fenster)

Fremdsprachensekretär / Assistenz (m/w/d) als Elternzeitvertretung Deutsches Krebsforschungszentrum (DKFZ), Dresden (öffnet im neuen Fenster)

IT / OT Systems Engineer (m/w/d) RONAL GmbH, Forst (öffnet im neuen Fenster)

IT-Spezialist / IT-Spezialistin für Anwendungen & Systemintegration (m/w/d) Vollzeit / Teilzeit Universität Regensburg, Regensburg (öffnet im neuen Fenster)

IT-Coordinator (m/w/d) Infrastructure & Security DJE Kapital AG, Pullach im Isartal (öffnet im neuen Fenster)

Senior Expert IT Betrieb & Administration (w/m/d) Hensoldt, Koblenz (öffnet im neuen Fenster)

Ein Bild wie aus der Internetsteinzeit: Bundeskanzlerin Angela Merkel (CDU) und der damalige Telekom-Chef René Obermann beim Start von De-Mail auf der Cebit 2012 (Bild: Sean Gallup/Getty Images) (Sean Gallup/Getty Images)

E-Mail-Dienst: Regierung schaltet De-Mail ab

"Kaum genutzt, teuer und umständlich": Das Bundesinnenministerium kündigt das Ende von De-Mail in der Verwaltung an.

43 Kommentare

Die De-Mail ist ein gescheitertes IT-Projekt der Ära Angela Merkels. (Bild: Sean Gallup/Getty Images) (Sean Gallup/Getty Images)

"Ziele gänzlich verfehlt": Rechnungshof hält De-Mail für teuren Misserfolg

Das Innenministerium hat die Nutzung von De-Mail um den Faktor 1.000 falsch eingeschätzt. Es soll daher die Einstellung des Dienstes prüfen.

27 Kommentare

Ist es ein öffentlicher oder privater Schlüssel? Public-Key-Verschlüsselung ist verwirrend. (Bild: Hanno Böck) (Hanno Böck)

Verschlüsselung: BSI verschickt privaten PGP-Schlüssel

Öffentliche und private Schlüssel haben offenbar auch das BSI verwirrt. Das hat einen privaten Schlüssel verschickt, allerdings mit Passwortschutz.

59 Kommentare / Eine Exklusivmeldung von Hanno Böck

Bundeskanzlerin Angela Merkel (CDU) und der damalige Telekom-Chef René Obermann beim Start von De-Mail auf der Cebit 2012. (Bild: Sean Gallup/Getty Images) (Sean Gallup/Getty Images)

E-Mail-Dienst: Telekom schaltet De-Mail ab

Die Deutsche Telekom bringt den "toten Gaul" De-Mail nun endgültig unter die Erde. Andere Anbieter könnten die Konten der Nutzer übernehmen.

100 Kommentare

Signaturen sollen die Paketverwaltung eigentlich absichern. (Bild: Justin Sullivan/Getty Images) (Justin Sullivan/Getty Images)

Linux: RPM prüft Signaturen nicht richtig

Eigentlich werden RPM-Pakte unter Linux signiert. Viele wichtige Teile der Signaturprüfung sind bisher aber gar nicht implementiert.

13 Kommentare

Das war's dann wohl mit den alten PGP-Keyservern: Der SKS-Serverpool wird abgeschaltet. (Bild: Hanno Böck) (Hanno Böck)

SKS: Das Ende der alten PGP-Keyserver

Der Serverpool für die PGP-Keyserver mit der Software SKS wurde abgeschaltet. Grund sind Beschwerden wegen der Datenschutz-Grundverordnung.

7 Kommentare / Von Hanno Böck

Seminar: IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: Clevere AI Workflows & Agenten entwickeln: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop

zum Kurs

Seminar: Einführung in das Zero Trust Security Framework: virtueller Ein-Tages-Workshop

zum Kurs

Gekaufte Bewertungen bei der Mail-App Pep (Pretty Easy Privacy). (Bild: athree23/Pixabay) (athree23/Pixabay)

Pep: Open-Source-Mail-App wirbt mit gefälschten Bewertungen

Pep oder Pretty Easy Privacy ist eine der besten Mail-Apps, heißt es in einer gekauften Bewertung.

15 Kommentare

Timotheus Höttges, Vorstandsvorsitzender Deutsche Telekom AG (Bild: Telekom) (Telekom)

Telekom-Chef: De-Mail ist ein "toter Gaul"

De-Mail sei nie wirklich genutzt worden, sagte der Telekom-Chef. Die Telekom verabschiedet sich von dem umstrittenen E-Mail-Dienst.

87 Kommentare

Das Thunderbird-Team lässt sich noch etwas Zeit für OpenPGP. (Bild: Becky Matsubara, Flickr.com) (Becky Matsubara, Flickr.com)

E-Mail-Verschlüsselung: Kurze Verzögerung bei neuem OpenPGP-Support im Thunderbird

Eigentlich sollte die Version 78.2 des Thunderbird neuen OpenPGP-Code bringen. Das Team wartet aber noch mit der Aktivierung.

3 Kommentare

Thunderbird 78 ist erschienen. (Bild: Pixabay) (Pixabay)

E-Mail-Client: Thunderbird 78 erscheint mit verbesserter UI

Mit Version 78 bekommt Thunderbird eine verbesserte Oberfläche und integriert Addons, zum Beispiel den Kalender oder die E-Mail-Verschlüsselung.

37 Kommentare

Thunderbird 78 kommt mit OpenPGP-Verschlüsselung. (Bild: Pixabay/Montage Golem.de) (Pixabay/Montage Golem.de)

Mail-Client im Test: Thunderbirds neue PGP-Verschlüsselung ausprobiert

Bald erscheint Mozillas Thunderbird 78 mit vielen neuen Funktionen.

23 Kommentare / Ein Test von Moritz Tremmel

E-Mails werden in Thunberbird 78 ohne Enigmail verschlüsselt - noch ist die Technik experimentell. (Bild: NICOLAS MAETERLINCK/BELGA MAG/AFP via Getty Images) (NICOLAS MAETERLINCK/BELGA MAG/AFP via Getty Images)

Enigmail: Thunderbird warnt bei OpenPGP vor Upgrade

Das Thunderbird-Addon Enigmail warnt derzeit vor einem Upgrade auf Version 78. Die geplante neue Verschlüsselung ist noch nicht fertig.

16 Kommentare

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

E-Mails können in Thunderbird 78 mit PGP verschlüsselt werden. (Bild: Gerhard Gellinger/Pixabay) (Gerhard Gellinger/Pixabay)

Bye-bye Enigmail!: OpenPGP wird in Thunderbird integriert

Mussten sich Nutzer früher Enigmail und GnuPG installieren, soll Thunderbird bald alles, was man zur Verschlüsselung von E-Mails mit PGP braucht, mitbringen. Das bedeutet aber auch das Ende von Enigmail in Thunderbird.

18 Kommentare

GnuPG nun ohne Schlüsselsignaturen von Schlüsselservern (Bild: Capri23auto/Pixabay) (Capri23auto/Pixabay)

OpenPGP: GnuPG verwirft Signaturen von Keyservern

Nach mehreren Angriffen auf OpenPGP-Schlüssel auf Schlüsselservern zieht GnuPG die Reißleine und akzeptiert keine Signaturen mehr von diesen. Damit dürfte sich auch das Web of Trust erledigt haben.

6 Kommentare

Das Schlüsselnetzwerk ist kaputt. (Bild: cdfman/unsplash.com) (cdfman/unsplash.com)

OpenPGP: Entwickler warnen davor, SKS-Keyserver weiter zu nutzen

Dass SKS-Keyserver anfällig für Spam-Angriffe sind, ist seit langem bekannt. Nachdem sie angegriffen wurden, raten zwei OpenPGP-Entwickler nun davon ab, das Netzwerk für PGP-Schlüssel weiter zu nutzen. Das kommt überraschend spät.

Kommentare

Wie soll man PGP-Schlüssel am besten verteilen? Ein neuer Keyserver versucht es jetzt mit einem veränderten Konzept. (Bild: Juan de Vojníkov/Wikimedia Commons) (Juan de Vojníkov/Wikimedia Commons)

keys.openpgp.org: Neuer PGP-Keyserver prüft Mailadressen

Das bisherige Konzept der PGP-Keyserver ist an seine Grenzen gelangt, die bestehenden Keyserver werden immer unzuverlässiger. Nun gibt es einen neuen Keyserver mit einem anderen Konzept. Persönliche Daten werden nur nach einer Prüfung der E-Mail-Adresse verteilt.

2 Kommentare

Die Signaturen sind sicher? Anscheinend nicht. Viele Mailprogramme patzen bei der Überprüfung und lassen sich austricksen. (Bild: Pixabay) (Pixabay)

PGP und S/MIME: Mailprogramme fallen auf falsche Signaturen herein

Mit einer ganzen Reihe von Tricks lassen sich Mailprogramme dazu bringen, E-Mails scheinbar signiert anzuzeigen. Dabei wird aber nicht die Kryptographie angegriffen, sondern die Interpretation durch den Mailclient.

16 Kommentare

PGP-Schlüsselserver speichern alle PGP-Schlüssel - und alles, was dranhängt - für unbegrenzte Zeit. (Bild: dontworry/Wikimedia Commons) (dontworry/Wikimedia Commons)

Verschlüsselung: Ärger für die PGP-Keyserver

Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.

11 Kommentare / Ein Bericht von Hanno Böck

Sieht verschlüsselt aus, ist aber unsicher: Mails mit der Pep-Funktion in Enigmail (Bild: galiciandreamer / flickr) (galiciandreamer / flickr)

Enigmail/Pep: Klartext-Mails trotz angeblicher Verschlüsselung

Ein Bug in der Pretty-Easy-Privacy-Funktion des Enigmail-Plugins für Thunderbird sorgt dafür, dass manchmal Mails, die eigentlich verschlüsselt sein sollten, unverschlüsselt verschickt werden. Der Bug betrifft nur die Windows-Version von Enigmail.

1 Kommentare

Unterschriften fälschen - das geht auch digital bei OpenPGP-Signaturen. (Bild: Dreamstime) (Dreamstime)

OpenPGP/GnuPG: Signaturen fälschen mit HTML und Bildern

PGP-Signaturen sollen gewährleisten, dass eine E-Mail tatsächlich vom korrekten Absender kommt. Mit einem simplen Trick kann man bei vielen Mailclients scheinbar signierte Nachrichten erstellen - indem man die entsprechende Anzeige mittels HTML fälscht.

25 Kommentare / Von Hanno Böck

Sequoias heißen auf Grund ihrer schieren Größe auf deutsch Mammutbäume. (Bild: David J Laporte) (David J Laporte)

GPG-Entwickler: Sequoia-Projekt baut OpenPGP in Rust

Ein Team ehemaliger GPG-Entwickler arbeitet mit dem Sequoia-Projekt an einer OpenPGP-Implementierung in Rust. Sie soll den Umgang mit PGP erleichtern und aktuellen Plänen zufolge erstmals im kommenden Herbst stabil erscheinen.

17 Kommentare

Nach Efail die nächste Sicherheitslücke in GnuPG - diesmal lassen sich Signaturen fälschen. (Bild: Markus Brinkmann) (Markus Brinkmann)

SigSpoof: Signaturen fälschen mit GnuPG

Update In bestimmten Situationen lässt sich die Signaturprüfung von GnuPG in den Plugins für Thunderbird und Apple Mail austricksen. Der Grund: Über ungefilterte Ausgaben lassen sich Statusmeldungen des Kommandozeilentools fälschen. Doch der Angriff funktioniert nur unter sehr speziellen Bedingungen.

1 Kommentare

Über die Sicherheitslücke Efail sind viel Verwirrung und falsche Infos verbreitet worden. (Bild: efail.de) (efail.de)

PGP/SMIME: Die wichtigsten Fakten zu Efail

Im Zusammenhang mit den Efail genannten Sicherheitslücken bei verschlüsselten E-Mails sind viele missverständliche und widersprüchliche Informationen verbreitet worden. Wir fassen die richtigen Informationen zusammen.

33 Kommentare / Eine Analyse von Hanno Böck

Efail konnte man auch nach einem Update von Enigmail noch ausnutzen. (Bild: efail) (efail)

PGP/SMIME: Thunderbird-Update notwendig, um E-Fail zu verhindern

Thunderbird war bis Freitag für die E-Fail-Sicherheitslücke verwundbar, für Apple Mail gibt es bislang überhaupt kein Update. Vorläufig ist es empfehlenswert, HTML-Mails komplett zu deaktivieren.

21 Kommentare / Eine Exklusivmeldung von Hanno Böck

Ouch ... die Mailverschlüsselungsstandards S/MIME und OpenPGP nutzen uralte Verschlüsselungsverfahren - und das rächt sich jetzt bitter. (Bild: Jana Runde/Zuzana Somorovska) (Jana Runde/Zuzana Somorovska)

PGP/SMIME: Angreifer können sich entschlüsselte E-Mails schicken lassen

Ein Zusammenspiel von veralteten Verschlüsselungsmethoden und HTML-Mails erlaubt es in vielen Fällen, mit OpenPGP oder S/MIME verschlüsselte Nachrichten zu exfiltrieren. Bislang gibt es keine echten Fixes und nur unzureichende Workarounds.

75 Kommentare / Von Hanno Böck

Eine Sicherheitslücke gefährdet die Verschlüsselung von E-Mails. Details sind bisher nicht bekannt. (Bild: Jana Runde/Ruhr-Universität Bochum) (Jana Runde/Ruhr-Universität Bochum)

E-Mail-Verschlüsselung: PGP und S/MIME abschalten

Ein fundamentales Sicherheitsproblem untergräbt die Sicherheit von verschlüsselten E-Mails, betroffen sind sowohl PGP als auch S/MIME. Die Details wurden noch nicht veröffentlicht. Die Electronic Frontier Foundation empfiehlt die Abschaltung im Mailprogramm.

136 Kommentare

Schleuder verschlüsselt Mailinglisten - allerdings ist das Konzept nicht ideal. (Bild: Eitan f, Wikimedia Commons) (Eitan f, Wikimedia Commons)

Schleuder: Wie verschlüsselt man eine Mailingliste?

E-Mails zu verschlüsseln gilt schon als kompliziert, doch wie verschlüsselt man eigentlich eine ganze Mailingliste? Das Tool Schleuder soll das ermöglichen, allerdings kann der Server dabei Nachrichten mitlesen.

43 Kommentare

Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert. (Bild: OpenPGP.conf) (OpenPGP.conf)

Web Key Service: OpenPGP-Schlüssel über HTTPS verteilen

GnuPG-Entwickler Werner Koch schlägt auf der OpenPGP.conf ein neues Verfahren zur Schlüsselverteilung vor: Die Keys sollen mittels HTTPS vom Mailprovider bereitgestellt werden.

28 Kommentare

XMPP könnte eine native Ende-zu-Ende-Verschlüsselung bekommen. (Bild: xmpp.org) (xmpp.org)

XMPP: Jabber könnte neue PGP-Verschlüsselung bekommen

Das Chat-Protokoll Jabber, offiziell XMPP, könnte endlich eine native Ende-zu-Ende-Verschlüsselung auf Basis von OpenPGP bekommen. Die Entwickler arbeiten bereits an einer Referenzimplementierung.

40 Kommentare

Künftig können Nutzer in ihrem Facebook-Profil einen PGP-Key hinzufügen. (Bild: Facebook) (Facebook)

OpenPGP: Facebook verschlüsselt E-Mails

Facebook-Nutzer können künftig in ihr Profil einen PGP-Key eintragen. E-Mails von Facebook an den Nutzer werden dann automatisch signiert und verschlüsselt.

27 Kommentare

Der GPG-Tools-Installer unter Mac OS X 10.10 (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Verschlüsselung: GPGMail-Beta für Yosemite veröffentlicht

Die Entwickler der GPG Suite haben eine Betaversion ihrer Verschlüsselungssoftware für Apples aktuelles Betriebssystem Mac OS X 10.10 Yosemite veröffentlicht. Das ist die letzte kostenfreie Version.

5 Kommentare

GnuPG unterstützt jetzt auch elliptische Kurven. (Bild: Petr Chudáček, Wikimedia Commons) (Petr Chudáček, Wikimedia Commons)

Verschlüsselung: GnuPG 2.1 bringt Unterstützung für elliptische Kurven

Eine neue Version der Verschlüsselungssoftware GnuPG liefert Unterstützung für elliptische Kurven. Die Unterstützung für alte Schlüssel von PGP 2 wurde entfernt.

Kommentare

Auch bei Golem.de wird jetzt Mailverschlüsselung mit GnuPG genutzt. (Bild: Gpg4win) (Gpg4win)

Verschlüsselung: Kryptoparty bei Golem.de

Nach der NSA-Affäre sind verschlüsselte E-Mails wieder stärker in den Fokus der Öffentlichkeit gerückt. Auch bei Golem.de hat die Diskussion Spuren hinterlassen: Die Redaktion traf sich zur Kryptoparty, um die Verschlüsselung mit GnuPG einzurichten.

104 Kommentare

Recurity Labs arbeitet an OpenPGP für Javascript. (Bild: Recurity Labs) (Recurity Labs)

GPG4Browsers: Javascript-basierte OpenPGP-Verschlüsselung für Webmail

Recurity Labs versucht, eine OpenPGP-Verschlüsselung auch im Browser in Verbindung mit Webmail-Diensten nutzbar zu machen. Die Erweiterung GPG4Browsers funktioniert bereits unter Chrome in Verbindung mit Google Mail, ist aber noch unsicher.

1 Kommentare

Gpg4win 2.0 mit S/MIME-Unterstützung veröffentlicht

Software rüstet auch E-Mail-Verschlüsselung für Outlook nach. Gpg4win ist in der Version 2.0 erschienen. Das Windows-Installationspaket enthält die freie Verschlüsselungssoftware GnuPG, ergänzende Software und Handbücher. Die neue Version unterstützt die S/MIME-Verschlüsselung.

6 Kommentare

OpenPGP für AIX

Implementierung nutzt IBMs Verschlüsselungsbibliothek. IBM hat ein Werkzeug zum Download bereitgestellt, das den RFC 2440 für AIX implementiert - besser bekannt als OpenPGP. Damit können auch AIX-Anwender Daten ver- und entschlüsseln sowie unterschreiben.

4 Kommentare

OpenPGP-Allianz gegründet

Einsatz in Mailprogrammen soll gefördert werden. Mit der Gründung der OpenPGP Alliance soll der Einsatz einer freien PGP-Implementation in Mailprogrammen und sonstigen sicherheitsrelevanten Programmen gefördert werden. Zu den Gründungsmitgliedern gehören elf Firmen.

Kommentare

Kurse

Podcast Besser Wissen