E-Mail-Verschlüsselung akut angreifbar - nicht mehr sicher?

Zitat von Aragorn

Hallo,
nur mal zur Info anscheinend wurde die Verschlüsselung von PGP geknackt.

Info Heise

Info Winfuture

Weitere Infos:

https://www.golem.de/news/pgp-smime…805-134370.html

https://efail.de/efail-attack-paper.pdf Seite 4 und Seite 11 (TheBat!: S/MIME Exfiltration (with user interaction))
Zitat:
| Out of 48 tested mail clients 17 had missing isola-
| tion which would allow leaking secret messages to an
| attacker-controlled web server in case a mail gateway
| would decrypt and simply replace the encrypted part with
| the plaintext. Even worse, in five email clients, the con-
| cept shown in Figure 1 can be exploited directly:
| Apple Mail (macOS), Mail App (iOS), Thunderbird (Win-
| dows, macOS, Linux), Postbox (Windows) and Mail-
| Mate (macOS). The first two clients by default load ex-
| ternal images without asking and therefore leak the plain-
| text of S/MIME or OpenPGP encrypted messages. For
| other clients our attacks require user interaction. For ex-
| ample, in Thunderbird and Postbox we can completely
| redress the UI with CSS and trick the user into submitting
| the plaintext with an HTML form if he clicks somewhere
| into the message. Note that thanks to the MIME struc-
| ture the attacker can include several ciphertexts into one
| email and exfiltrate their plaintexts at once. For Thun-
| derbird this security issue is present since v0.1 (2003).

http://www.kryptowissen.de/ciphertext-only-angriff.html

OpenPGP https://tools.ietf.org/html/draft-ietf-openpgp-rfc4880bis-03

Bye

Marina

Verschlüsselung von GPG wurde nicht gehackt und akut unsicher ist GPG-Verschlüsselung auch nicht!

Bitte diese falschen Aussagen berichtigen.

Also bevor sich jetzt hier Warnungen und Beschwichtigungen gegenseitig abwechseln:

Die Verschlüsselung mit GPG an sich (=das reine GPG; ohne irgendwelche Software drumrum) scheint nach derzeitigem Kenntnisstand nicht geknackt zu sein.

Die einzigen, die eine belastbare Aussage zum Thema The Bat machen können, ist nunmal Ritlabs selbst. Die sind informiert und ich denke, dass dahingehend kurfristig ein Statement kommen wird. Erste Informationen lesen sich eher beruhigend; wie man übrigens anhand der oben verlinkten Dokumentation gut selbst nachvollziehen kann.

Zusätzlich noch hier die Aussage vom CEO:
https://www.mail-archive.com/tbbeta@thebat.…/msg110177.html

...du hast das wiederholt was ich geschrieben habe mse!

Richtig. Und damit steht es nun 2:1 gegen Panikmache.

Es geht bei efail vorrangig um Probleme mit Mailclients.

S/MIME ist konzeptionell unsicher, weil es keine Methode hat die Integrität einer verschlüsselten Mail zu prüfen.

OpenPGP/PGP/GnuPG hat das nicht, weil verschlüsselte Inhalte eine Methode (genannt MDC) haben, auf Veränderungen zu prüfen.

Und manche Mailclients setzen Teile von HTML-Mails falsch zusammen, sodass Textinhalte als Parameter bspw. bei externen Bild-Inhalten an Seiten gesendet werden.
Deswegen sind HTML-Maild unsicher wenn man das Nachladen von Inhalten zulässt!

Maxim und Ritlabs prüfen derzeit ob The Bat! sicher ist.

Hier beim Heiseartikel
https://www.heise.de/newsticker/mel…en-4048988.html

ist in ca. in der mitte , der Seite, eine Tabelle..
in der ist festgehalten , das bei the BAT! wohl PGP sicher ist..
nur S/mime nicht....

Ich poste diese Tabelle mal hier hin...

batboard.net/wcf/attachment/5728/
Bild-Quelle: https://efail.de/efail-attack-paper.pdf

Originaldokument: https://efail.de/efail-attack-paper.pdf
Hat auch ein Aufstellung welche Mailclients angreifbar sind.

Zitat von Faktotum

Ich poste diese Tabelle mal hier hin...hoffe das es den Jungs von Heise nicht stört

Nachdem die Tabelle aus der efail-Publikation entnommen ist, die unter GPL steht, dürfte Heise daran keine Rechte haben.

Trotzdem:
Mit deinem Kommentar hast du gezeigt, dass du dir durchaus bewusst bist, dass es sowas wie Urheberrechte gibt, die verletzt werden können. Und du hast dich weiterhin dazu entschlossen, das zu ignorieren und das Risiko auf das Batboard abzuwälzen.

Ich habe die Quelle hinzugefügt.

Personen, die hier Bilder/Inhalte von fremden Seiten ohne Quellenangabve posteen, bekommen bei Wiederholung mindestens eine Verwarnung.

ich darf nochmals hinweisen:

Zitat von Nutzungsbedingungen Batboard

Beiträge zu urheberrechtlich geschützten Materialien, Raubkopien & illegaler Software

Das Hochladen, Erfragen, Anpreisen, Bewerben und Verlinken von urheberrechtlich geschützten Inhalten zu illegalen Zwecken ist untersagt. Software und Spiele, die auf dem Index stehen, dürfen weder beworben noch zur Schau gestellt werden. Der Nutzer hat sicherzustellen, dass von ihm im Forum eingestellte Bilder und Texte (Avatare, Signaturen, Zitate, Screenshots/Fotos etc.) keine Rechte Dritter verletzen. Verstöße werden, je nach Härte, mit einer Ermahnung, Verwarnung, Schreibsperren bzw. Ausschluss geahndet. Alles, was in eine Grauzone fällt (z. B. keine eindeutige Zuordnung aufgrund unsicherer Rechtslage), kann von den Forenadministratoren und -moderatoren sicherheitshalber entfernt werden, um möglichen Schwierigkeiten im vornherein aus dem Wege zu gehen.

https://www.heise.de/newsticker/mel…il-4050153.html

Ja, das ist eine gute Kritik an der Panikmache des EFF!

In der The Bat!-Betaliste habe auch noch angeregt, dass Maxim ein anderes Problem im Zusammenhang mit efail prüft.
https://www.mail-archive.com/tbbeta@thebat.…/msg110183.html
https://www.mail-archive.com/tbbeta@thebat.…/msg110184.html

Vielleicht werden sie jetzt mal an diverse Probleme mit GnuPG gehen wo efail aufgetaucht ist.