"Verheerende" Folgen: PGP-verschlüsselte Mails sind nicht länger sicher

Es wird heutzutage immer wieder der Begriff Security-Super-GAU verwendet, im aktuellsten Fall kann man aber wohl tatsächlich davon sprechen (sieht man davon ab, dass er eigentlich an Atomkraft geknüpft ist): Denn heute wurde bekannt, dass zwei ... mehr... Sicherheit, Sicherheitslücke, Lücke, Pgp, Pretty Good Privacy Bildquelle: Jana Runde/Ruhr Universität Bochum Sicherheit, Sicherheitslücke, Lücke, Pgp, Pretty Good Privacy Sicherheit, Sicherheitslücke, Lücke, Pgp, Pretty Good Privacy Jana Runde/Ruhr Universität Bochum

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Äh, wer verwendet denn bitte HTML-Mails und hofft, dass dann nix nachgeladen wird?
 
@Sam Fisher: ich würde tippen etwa 70% der geschäftlichen kommunikation
 
@Sam Fisher: Frau Meier aus dem Sekretariat, die mit IT-Technik nichts zu tun hat und keine Ahnung hat, was im Hintergrund alles passiert. Sie muss es im übrigen auch gar nicht wissen.
 
@Memfis: nicht mal das. HTML-Mails sind nunmal gang-und-gäbe. Text-Mode-Mails weniger. Allein was viele zu HTML verleitet ist die Tatsache wesentlich interessantere Signaturen zu verwenden. Allerdings HTML UND Verschlüsselung sollte man nicht kombinieren... das sagt mir schon der gesunde Menschenverstand.
 
@Stefan_der_held: Wie gesagt: Die Sekretärin muss nicht wissen, was da technisch im Hintergrund passiert. Die Administration und IT-Abteilung natürlich schon, nur ist diese am Ende auch Weisungsgebunden und wenn Chefe sagt "Mach", dann wird gemacht.
 
@Memfis: Die sollten dann wenigstens so frei sein, dem Chef zu sagen: "Okay, ich mach, aber dann ist's halt nicht sicher. Ich bin der Fachmann, deshalb haben sie mich eingestellt, werter Chef. Soll ich trotzdem machen? "
 
@Speggn: Versuch DAS mal in einem Unternehmen mit Vorstand. Zu solchen Themen wird die IT doch gar nicht eingeladen und falls doch, dann überwiegt halt das "Es sieht gut aus"-Argument.
 
@Memfis: Es ging hier um Chef, nicht um Vorstand...
Ich ging hier gerade vom mittelständischen Unternehmen aus, das einen, oder zwei Fachleute in der IT Abteilung haben, hat die sich um die IT die Firma kümmern. Bei uns, ÖD, 35 Mitarbeiter, ist es einer... Steht aber "Abteilung Informationstechnologie" an der Tür XD^^

In Konzernen ist das eine gänzlich andere Sache....da ist es dann wie auf einem Amt... die unteren in der Hierarchie haben auszuführen, und nichts zu melden...
 
@Speggn: du willst also in einem unternehmen die anzeige von html mails abklemmen und den normalanwendern dann zeigen was übrig bleibt?
 
@0711: Nein. Ich meine doch nur das man als IT Verantwortlicher in seiner Firma dem Chef sagen sollte das er den Kuchen nicht Essen und ihn danach noch haben kann... Entweder oder. Letztendlich wird wohl die Sicherheit der Nutzerfreundlichkeit geopfert, was ich auch völlig verstehen kann.
 
@Speggn: Letztlich ist es beim IT Verantwortlichen vor allem auch die Belegschaft zu sensibleren, nur dem Chef irgendwas hinwerfen was dann letztlich Produktivität und Agilität im Unternehmen einschränkt und dieser absehbar ablehnen wird (aus guten gründen) ist weit zu wenig. IT Systeme sollen dinge vereinfachen da sehe ich den Vorschlag der in diesem Fall mehr Sicherheit bringt eigentlich nicht als ernsthaft diskutabel
 
@0711: Belegschaft sensibilisieren, du bist gut XD.... Wir haben genügend Mitarbeiter die täglich einen PC benutzen, aber bei mir oder unserem IT Verantwortlichen anrufen, weil Windows ein Update gemacht hat, unten rechts ein Popup zum Neustart kommt, und man in den absoluten Panikmodus geschaltet hat weil der PC was macht, was er nicht immer macht. Oder die bei uns anrufen weil Excel in einer Spalte plötzlich eine andere Schriftgröße benutzt usw. Kenne ich von einem bekannten der bei uns im Arbeitsamt arbeitet genauso. Wenn da irgendwas nicht nach Schema F läuft, gehen die Paniklampen an und man verweigert sich jeglicher Fähigkeit mal etwas dazuzulernen. Dafür ist ja der IT Verantwortliche da, das um das so zu machen wie es immer war.

Da musste ich bei einem unserer Mitarbeiter für Win 7 ein Win 98/2000 Design einstellen, weil er nicht mit den neuen Grafiken klar kam. Sobald es aussah wie damals, waren die Probleme auf einmal wie weggeblasen. Alleine das der Start Knopf rund und nicht eckig war hat bei vielen für Probleme gesorgt....

Da kannst du jegliche Art der Sensibilisierung völlig vergessen. Das klappt nur bei IT affinen Arbeitsplätzen wie in einem Rechenzentrum oder ähnlichem. Menschen die einen Computer auf der Arbeit nutzen um ein Word Dokument zu öffnen oder mal etwas in eine Tabelle eintragen, sind nicht zu sensibilisieren. Und da kann der Chef nur entweder oder haben. Entweder der IT Verantwortliche deaktiviert bestimmte Funktionen der Sicherheit halber, oder er lässt sie aktiviert mit allen darauf folgenden Konsequenzen.... Nur sollte er halt dem Chef die Entscheidung überlassen, denn dieser ordnet an.
 
@Speggn: Sensibilisierung beinhaltet auch das beibringen was nicht schlimm ist. Ämter sind ein Paradebeispiel für absolut verfehlte IT "Politik", dort läuft in der regel alles schief, fachabteilung und it sind sich so fremd wie menschen die sich noch nie begegnet sind. Ansonsten sehe ich auch die Haltung "it muss das regeln" nicht für grundlegend verkehrt, die it sollte dafür sorgen dass da keine arbeitsunterbrechenden oder unnötigen hinweisbanner erscheinen.

Wir haben ein grundlegend unterschiedliche Auffassung wie IT betrieben werden sollte
 
@0711: Ich gehe ständig die Wand hoch weil die Kollegen so lernresistent sind. Ich (so als inoffizieller IT Typ bei uns) versuche ständig den Kollegen zu erklären das fast alles weshalb sie durchdrehen absolut nicht schlimm ist.

Und es bringt einfach nichts. Das ist wie bei meiner Oma, die angst hatte die Sender am Radio zu verstellen weil sie denkt sie macht es damit kaputt. Das hat halt immer mein Opa gemacht, als er noch lebte. Und auch nachdem ich es ihr 30 mal gezeigt hatte, weigerte sie sich alleine am Rädchen am Radio zu drehen. Das einzige was sie machen wollte war es ein und auszuschalten.

Genauso verhalten sich unsere meist älteren Kollegen dem PC gegenüber. Im ÖD herrscht da eine interessante Einstellung vieler Menschen zur Technik....

Du glaubst gar nicht wie häufig ich einer bestimmten Kollegin gezeigt habe wie man bei Excel die Schriftgröße einstellt.... Und trotzdem steht sie jedes mal völlig aufgelöst bei mir im Büro und fragt nach Hilfe weil das Wort in der einen Spalte größer ist "als es schon immer gewesen ist" (alleine diese Ausdrucksweise... grrrr.....)
 
@Sam Fisher: wo ist das problem? outlook 2016 lädt nichts aus dem netz nach, wenn ich es nich explizit umstelle.
 
PGP hat sich sowieso nie richtig durchgesetzt. Das Volk verschlüsselt eh nur, wenn es Whatsapp nutzt. Und Emails werden in den allermeisten Fällen nur noch für den Empfang von Werbung genutzt.

Einzig und allein im B2B-Umfeld könnte solch eine Verschlüsselung eine Rolle gespielt haben.
 
@eshloraque: Wer glaubt WhatsApp verschlüsselt wirklich - dem ist nicht zu helfen. Die Verschlüsselung selbst ist wie oft gesehen/gezeigt mehr oder minder einfach nur Masquerade.
 
@Stefan_der_held: Danke, dass Du klüger bist als alle Kryptoexperten. (Achtung Ironie)! Dann bist Du auch der Meinung, dass der Messenger Signal unsicher ist, denn der benutzt den gleichen Verschlüsselungsmechanismus?!
 
@Nunk-Junge:
WhatsApp nutzt eine reine Client-zu-Server-Verschlüsselung, keine sichere Client-zu-Client-Verschlüsselung.
Client-zu-Server-Verschlüsselung bedeutet dass der Anbieter die Kommunikation mitlesen kann u. die Nachrichten lediglich auf dem Übertragungsweg verschlüsselt sind, auf den Servern von WhatsApp aber entschlüsselt werden.
 
@Winnie2: Nein, falsch. Whatsapp hat eine Ende-zu-Ende-Verschlüsselung.
 
@Winnie2: Man kann Whatsapp kritisieren, dass die Metadaten nicht geheim sind; Whatsapp weiß zum Beispiel wer wem eine Nachricht schickt. Da ist Signal als Messenger besser. Aber die Inhalte den Nachrichten sind sowohl bei Whatsapp wie auch bei Signal Ende-zu-Ende verschlüsselt und da kann selbst Whatsapp nicht reinschauen. Der berühmte Krypto-Experte Bruce Schneier empfiehlt daher die Nutzung von Signal als Messenger und wenn das nicht möglich ist, dann Whatsapp. Gerade erst gestern wieder als er sich über das PGP-Problem geäußert hat: https://www.schneier.com/blog/archives/2018/05/details_on_a_ne.html
 
@Nunk-Junge: das mag sein aber die E2E von WA hat auch ihre probleme.bspw den schlüsselwechsel der bei default keine warnung wirft oder aber auch das automatische nachsenden nicht angekommener nachrichten nach schlüsselwechsel ohne vorherige nachfrage (selbst mit warnung ist es bereits zu spät wenn man diese sieht)

daher ist das E2E von viele usern eben durch MITM am server (bspw NSA und so) leicht kompromittierbar
 
@My1: Nein, man kann nicht von kompromittierbar sprechen. Das ist defintiv falsch, wurde aber in vielen Berichten so dargestellt, weil die Reporter die Hintergründe gar nicht verstanden haben (z.B. Guardian die als erste davon berichteten) oder einfach nur abgeschrieben haben. Hier der technische Hintergrund: https://www.schneier.com/blog/archives/2017/01/whatsapp_securi.html
 
@Nunk-Junge: naja es ist ein design dass es schon gewissermaßen erlaubt die keys relativ unbemerkt (bei defaultsettings) zu tauschen und man somit sich zukünftige nachrichten aneignen kann. die Verschlüsselung selbst ist vielleicht nicht kompromittiert (was ja auch stimmt) aber durch eine designentscheidund die sicherheit droppt kann man das End-to-End Prinzip kompromittieren.
 
@Winnie2: Sry, aber das stimmt nicht. WhatsApp hat eine Ende-zu-Ende Verschlüsselung und selbst WhatsApp kann nicht mitlesen.
Das wurde doch schon Bestandteil von Strafermittlungen in den USA. da auf den Servern von WA keine entschlüsselten Daten liegen, die beschlagnahmt werden könnten.
 
@Nunk-Junge: glaubst du alles, was die werbung sagt? ok, dann bin ich jetzt werbung und sage dir, dass facebook problemlos den inhalt von whatsapp nachrichten lesen kann. ist das nun sichere ende zu ende verschlüsselung?
 
@troll_hunter: Wie sagte Dieter Nuhr: "Wenn man keine Ahung hat, ..." - Manchmal solltest Du lieber schweigen.
 
@Nunk-Junge: "Entwickler: Facebook kann WhatsApp-Chats einsehen - trotz Ende-zu-Ende-Verschlüsselung" - 13.04.2018 - https://www.heise.de/mac-and-i/meldung/Entwickler-Facebook-kann-WhatsApp-Chats-einsehen-trotz-Ende-zu-Ende-Verschluesselung-4023461.html
 
@troll_hunter: Du hättest den Artikel lesen sollen. Ein Entwickler hat behauptet, dass es theoretisch möglich wäre die ENDGERÄTE unter iOS zu kompromittieren und so die Ende-zu-Ende-Verschlüsselung zu umgehen. Der Artikel geht darum, dass jemand glaubt iPhones sind nicht sicher. Davon, dass die Ende-zu-Ende-Verschlüsselung unsicher sei, steht nicht einmal etwas in dem Artikel. Ich wiederhole: Wie sagte Dieter Nuhr: "Wenn man keine Ahung hat, ..." - Manchmal solltest Du lieber schweigen.
 
Also einfach HTML blocken. Das sollte ja jetzt nicht das Problem darstellen.
 
@Johnny Cache: Vergiss auch nicht, alle Mails mit dem Betreff "Virus" und "Trojaner" zu blocken!
 
Irgendwie widerspricht sich der text in sich selbst, mal wird davon gesprochen das S/MIME bzw PGP geknackt wurden, dann wiederrum in der Erklärung wird darüber geschrieben das man über einen code im mailquellcode den privaten schlüssel klauen kann...

Liest sich auf den ersten blick gar nicht so verheerend
 
@0711: ist es auch nicht. hier wird wieder mal unnötige panik verbreitet. und das problem ist auch nicht pgp sondern das verhalten des plugins bzw. mailprogramms. clickbait eben.
 
@0711: S/MIME und PGP selber sind nicht geknackt. Es gibt aber einen weg um die Verschlüsselung zu umgehen. Darum geht es. Wird halt mal wieder falsch dargestellt.
 
Das heißt doch wieder einmal: Nichts ist wirklich Sicher, es braucht nur die Zeit und die Gelegenheit, an Teilinformationen des Sicherheitsalgoritmus zu kommen, um einen Weg zu finden, diese zu umgehen. Ist für mich ein Grund mehr, für solche Software nicht noch zusätzlich Geld auszugeben, wenn es Freeware ist, dann kann man es bei Bedarf ja holen.
 
HTML in E-Mails ist sowieso völlig unnötig und bläht die Nachricht aufgrund der base64-Kodierung nur auf. Verzichtet man darauf, ist PGP auch weiterhin sicher :)
 
Naja, wie lange gibt es PGP jetzt schon? Ich würde mal sagen, dass es ziemlich lange sehr sicher war. Schwachstellen finden sich immer, wenn man nur lange genug sucht.

Was der Tipp mit der "Verschlüsselung gleich deaktivieren" soll frage ich mich auch. Um mal den Postkartenvergleich heran zu ziehen. Es ist doch immernoch besser die Postkarte in einen Umschlag zu stecken mit der Möglichkeit, dass dieser unterwegs geöffnet wird als die Postkarte gleich blanko zu verschicken. Ist ja nicht so, dass durch die Verwendung von PGP weitere Sicherheitsrisiken entstehen.
 
@Memfis: Das versteh ich auch nicht. Den Hinweis "behandelt verschlüsselte E-Mails aktuell so als ob diese unverschlüsselt sind und passt deshalb je nach Inhalt doppelt auf" hätte ich völlig verstanden. Wieso man jetzt aber die Verschlüsselung komplett deaktivieren sollte, erschließt sich mir auch nicht. Oh, das Fahrradschloss ist nicht 100% sicher, na gut, dann las es komplett weg.
 
@sav: Das "deaktivieren" erklärt sich dadurch dass der exploit offenbar den klau des private keys erlaubt...heißt wenn man so eine lösung aktiv hat wird der private key gestohlen und alle aktuellen, künftigen und vergangenen mails können von dritten entschlüsselt werden. Diesem private key Diebstahl kann man mit dem (vorübergehenden) deaktivieren bis zu einem fix umgehen

Deshalb ist dein Fahrradschlossbeispiel auch falsch, es ist viel mehr so dass wenn du dein fahrraadschloss irgendwo nutzt, dritte einen generalschlüssel für alle deine Schlösser bekommen kann
 
@0711: alles klar, das hatte ich aus der news so nicht verstanden. Vielen Dank!
 
@sav: meine Ausführung war falsch, es kann nur der Inhalt von mails geklaut werden, kein private key
 
@0711: Danke fürs Update, das hätte ich sonst gar nicht mitbekommen. Dann passt ja mein Vergleich mit dem Fahrrad doch halbwegs wieder :)
 
@0711: nicht ganz. man kann nicht den key klauen und die VERschlüsselung ist auch nicht das problem sondern die (automatische) ENTschlüsselung von maniupulierten nachrichten und die probleme die folgen.
 
@Memfis: ich denke, es geht darum zu sagen: "und glaub ja nicht, deine email ist jetzt sicher"...

stellt sich doch auch die frage, warum man die Lücke "Öffentlich" macht!?!?
=> ganz einfach, je schneller das System zusammen bricht, desto größer der Schrei nach neuer Sicherheit!

und womöglich ist EMail so oder so nicht mehr auf dem Stand der dinge...
=> ich will damit nicht sagen: "schaff outlook ab" <- in Unternehmen kann ich mir gerade keine echte Alternative vorstellen, aber die Verbindung zwischen Outlook und Outlook könnte man schon z.B. wie Signal aufbauen...
 
@bear7: Es wird öffentlich gemacht damit wir davon überhaupt erfahren und die Entwickler von PGP in Zugzwang kommen das System sicherer zu machen oder wenigstens ein workaround anbieten. Wie es auch im Text steht ist die Lücke Monate lang schon bekannt ... so hatten die lang genug Zeit etwas gegen die Möglichkeit zu machen.
 
@coi: die entwickler von pgp sind gar nicht in zwang. deren schutz vor diesem problem existiert seit 2001. das problem sind die mailclients und die plugins.
 
@Memfis: Der Tipp lässt sich leicht erklären, es geht hier darum dass über diese lücke der private key entwendet werden kann und das nur dann wenn man eine entsprechende lösung bei sich aktiv am rennen hat....deshalb ist der ratschlag gut und richtig und deine Schlussfolgerung "Ist ja nicht so, dass durch die Verwendung von PGP weitere Sicherheitsrisiken entstehen" schlicht und ergreifend falsch, genau das trifft nämlich zu
 
@0711: OK, hatte ich so nicht verstanden. Danke für die Aufklärung.
 
@Memfis: meine Ausführung war auch falsch, es werden doch keine schlüssel gestohlen, es werden Inhalte von mails gestohlen
 
Der Titel dieses Artikels ist eine unsinnige Pauschalisierung die so einfach nicht stimmt...
 
Im Grunde ist jede Verschlüsselung angreifbar - zur Not durch kompromittieren einer der Kommunikationspartner. Verschlüsselung heißt für mich, dass auf dem Transportweg der Mail keine Möglichkeit besteht den Inhalt der Nachrichten mitzulesen/mitzuhören. Was schlussendlich auf den Clientsystemen passiert obliegt nicht wirklich der Verantwortung der Verschlüsselung.
 
@Stefan_der_held: Sorry, Du hast das Thema Verschlüsselung nicht verstanden. Du sprichst von Transportverschlüsselung. Das ist aber etwas völlig anderes. PGP und S/MIME sind keine Transportverschlüsselung. Das wären eher SSL oder TLS. Du kannst zum Beispiel eine mit S/MIME verschlüsselte Email über TLS versenden...
 
E-Mail ist tot, wird doch nur noch zur Forenanmeldung oder zum einkauf bei Amazon oder so verwendet. Echte kommunikation findet doch nur noch per Whatsapp/Telegramm oder ähnlichem statt, und kein Spam dort kommt noch dazu!
 
Warum hat grösster anzunehmender Unfall (GAU) etwas mit Atomkraft zu tun? Das soll der werte Herr Redakteur bitte mal erklären. Er wurde evt. (ich weiss es nicht) zum ersten mal verwendet, ist aber nicht exklusiv dafür gedacht.
 
@JTRch: https://www.duden.de/rechtschreibung/GAU
https://de.wiktionary.org/wiki/GAU
https://de.wikipedia.org/wiki/Auslegungsst%C3%B6rfall
 
Hmmmm....
So wie ich das Lese haben die es nicht geschaft PGP zu knacken, sondern nur eine Möglichkeit gefunden die "Geheime"-Schlüsseldatei zu per HTML+Chiper Stehlen.

Warum wird man Beim Erstellen des Schlüsselpaares nochmal aufgefordert ein Passwort für den Schlüssel zu erstellen?

Ob die was mit der Schlüsseldatei ohne das Passwort anfangen können steht auf einem anderen Papier...

Ich kann mich noch an die zeiten damals auf dem A500 erinnern wo man sich PGP noch mit GCC++ selber aus dem Quellcode Compilieren musste...
 
@McHunter: Sie bekommen den Klartext des private keys, heißt "nach der passworteingabe". Deshalb auch der ratschlag die Plugins zu deaktivieren
 
@0711: Einfachert ist es HTML zu deaktivieren, dann funktioniert der angriff über HTML + Chiper nämlich nicht und Die Verschlüsselung ist sicher...
 
@McHunter: Für die meisten Anwender dürfte das vermutlich nicht einfacher sein weil dann ziemlich viele mails für viele leute "unleserlich" dargestellt werden und wenns nur der neueste gutscheincode von Pizza.de ist
 
"Doch was bisher der mächtigen NSA nicht gelang, haben nun die europäischen Sicherheitsforscher geschafft."

Wer sagt das die das nicht schon seit Jahren wissen und mitlesen? Die werden wohl kaum damit hausieren gehen, wenn sie Lücken finden, die sie im Interesse der nationalen Sicherheit nutzen können.
Ich bin mir auch sicher, dass sie WhatsAppp und jeden gängigen Messenger mit Verschlüsselung in Echtzeit mitlesen können. Ist relativ ruhig geworden das Thema, verdächtig ruhig. Was wurde gezetert, als man verkündete nun standardmäßig End-to-End zu verschlüsseln bei WhatsApp.
 
Man sollte erwähnen, dass die Angriffsvektoren seit langem bekannt sind. Daher sollten E-Mails signiert und auf Integrität geprüft werden! Das wird in der Regel auch so gemacht...
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles