EFAIL – Nein, PGP ist nicht kaputt

PGP Public Key

PGP Public Key

Medien berichten, durch EFAIL sei E-Mail-Verschlüsselung „geknackt“. Diese Aussage ist falsch. Dennoch ist eure Privatsphäre gefährdet.

Aktuell geistert die vermeintliche Sicherheitslücke in PGP und S/MIME durch die Medien. Der Spiegel berichtet, Experten räten von E-Mail-Verschlüsselung ab; die Zeit titelt, „PGP und S/Mime: Forscher knacken E-Mail-Verschlüsselung“. Beides ist falsch, denn die Verschlüsseung unserer Mails ist, an sich, weiterhin gewährleistet.

Doch was ist dann das Problem?

Wenn ein Mailclient eine HTML-Formatierte Mail darstellt und die inhalte automatisch nachlädt, ein Verhalten, welches nichts mit PGP oder S/MIME zu tun hat, dann werden Verbindungen nach draußen geöffnet. Das ist längst bekannt und gute Mailclients laden deshalb zum Beispiel niemal automatisiert Inhalte für ein Mail aus dem Internet nach.

Jetzt ist es natürlich so, dass beim Nachladen der Inhalte auch Informationen nach außen übertragen werden können, daher ist es auch immer ratsam, das Nachladen zu unterbinden, um zum Beispiel Spammails nicht zu ermöglichen, eine „Erfolg“-Meldung zu versenden.

Was die Angreifer getan haben, ist ein HTML-Tag (So etwas wie <img src=“http…..“ />) so zu platzieren, dass der gesamte Inhalt der Mail als HTML-Aufruf ins Netz geschickt wird. Die Krux: Wenn mein Mailclient zuerst die Mail entschlüsselt und dann den Inhalt ins Netz sendet, ist die Mailverschlüsselung erfolgreich umgangen.

Ich betone hier: Umgangen. Niemand hat die Mailverschlüsselung „geknackt„, sondern mein Mailclient wurde dazu gebracht, mich zu hintergehen.

Also doch keine Mails verschlüsseln?

Wenn man nun statt Mails mit PGP auf einen verschlüsselten Messenger ausweicht oder die Mails gar nicht verschickt, hat man das Risiko an der Stelle nicht, das ist wahr. Um den EFAIL-„Trick“ anzuwenden, muss meine Mail jedoch bereits abgefangen und manipuliert werden, bevor sie mich erreicht. Wenn ich die Mails also einfach unverschlüsselt versende, hat der Angreifer ganz ohne EFAIL Zugriff auf meine Mails, das kann also auf keinen Fall eine Lösung sein, so wie es von manchen Medien suggeriert wird.

Der beste Weg ist jedoch wie immer: Patches installieren und die Software ordentlich konfigurieren.

Was also tun?

  • Updates für den Mailclient und das Verschlüsselungsplugin installieren.
  • Automatisches Nachladen von Inhalten in Mails unterbinden.
  • Inhalte dann auch nicht manuell in der Mail erlauben, schon gar nicht bei verschlüsselten Mails!
  • HTML Mails generell vermeiden. Niemand braucht Formatierung in E-Mails. Ernsthaft!
  • Möchte man auf Nummer sicher gehen: Die Verschlüsselte E-Mail manuell in ein externes Entschlüsselungsprogramm übertragen und dort entschlüsseln. Nicht für den Durchschnittsanwender praktikabel, in manchen Fällen vielleicht jedoch angebracht.
  • Panikmeldungen in der Presse ignorieren. Vor allem dann, wenn von „geknackt“ die Rede ist, kann man davon ausgehen, dass der Autor des Artikels keine Ahnung vom Thema hat. „Experten“, die nun von Verschlüsselung abraten, sind jedoch auch keine Experten.

Weitere Infos

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.