Efail Hysterie und andere Märchen

Denn jeder hat etwas zu verbergen...
Antworten
Benutzeravatar
wanderer
Beiträge: 145
Registriert: Fr 14. Apr 2017, 19:03
Betriebssystem: LMDE, Sabayon, OI,
Virenscanner: Bei einer Desktop-Installation - wozu ?

Efail Hysterie und andere Märchen

Beitrag von wanderer » Sa 2. Jun 2018, 01:54

Hallo Interessierte,

ich darf hier kurz einmal meine Einschätzung zu diversen Verunsicherungen posten.

Die E-Fail Problematik in S/MIME und GPG [PGP] ist schon länger bekannt.

Es macht sich jedoch leider eine gewisse Panik breit, die falsch ist.

Zunächst
Die Voraussetzung für einen erfolgreichen Angriff ist, daß der Angreifer die verschlüsselte Mail unterwegs abfangen und manipulieren kann.
Das entspricht einem Man-In-The-Middle Angriff.

Im OpenPGP-Standard ist ein Verfahren vorgesehen, um Nachrichtenmanipulationen zu verhindern; der sogenannte Modification Detection Code (MDC). Dabei wird ein Hash der Nachricht mit SHA-1 erstellt und anschließend verschlüsselt an die Nachricht angehängt.

Das Verfahren ist aus kryptographischer Sicht eher ungewöhnlich, aber zumindest bisher sind keine Sicherheitslücken in MDC selbst bekannt.

Die simpelsten Efail-Angriffe basieren darauf, in HTML-Mails externe Inhalte nachzuladen, etwa indem ein Bild vom Server des Angreifers geladen und die verschlüsselte Mail an den Request angehängt wird. (Bereits da läge ein Sicherheitsverstoß vor!)
Ob das Nachladen von Inhalten erlaubt ist, hängt vom E-Mail-Client und von den Einstellungen ab.

In Thunderbird und Outlook ist das Laden externer Inhalte standardmäßig deaktiviert, in Apple Mail ist es standardmäßig aktiv.

Also mal keine Panik. :o

MfG
- - -

Antworten