1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › PGP/SMIME: Angreifer können…

Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: win.ini 14.05.18 - 16:20

    >Die Electronic Frontier Foundation hat aus Anlass dieser Lücken eine drastische >Warnung verfasst: Man sollte Software zur Mailverschlüsselung abschalten oder >deinstallieren. Angesichts der unübersichtlichen Situation und der vielen Varianten von >Angriffen ist das eine durchaus nachvollziehbare Empfehlung.

    Ist *gar keine* Verschlüsselung besser als eine Verschlüsselung, die *unter Umständen* geknackt werden kann?

    Es bedarf doch immer noch einer gezielten Attacke auf den Empfänger.

  2. Re: Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: M.P. 14.05.18 - 16:28

    Das automatische Entschlüsseln der Mails direkt im Mail-Client ist das eigentliche Problem.
    Von da her könnte man natürlich das Rendern von HTML-Mails in seinem Mail-Client verbieten.
    Wenn einem das nicht reicht, kann man ja die verschlüsselt zu übertragenden Informationen in eine Textdatei packen, und eine mit PGP daraus erzeugte verschlüsselte Datei als Anhang mitschicken ...

  3. Re: Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: gelöscht 14.05.18 - 16:52

    naja, die frage ist, ob man dann noch verschlüsselung überhaupt einsetzen sollte. schickt man weiterhin vertrauliche daten per gpg, wenn man über die probleme weiss? für normale email benötigt man ja eh keine verschlüsselung. das "vertrauen" ist ja weg für die methode.

  4. Re: Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: floewe 14.05.18 - 17:11

    >Ist *gar keine* Verschlüsselung besser als eine Verschlüsselung, die *unter Umständen* geknackt werden kann?

    Ja, weil man sich nicht darauf verlassen kann.

    Frei nach Fefe:
    Im 10ten Stock eines Hochhauses ist *gar kein* Treppengeländer auf jeden Fall sicherer, als ein Treppengeländer, das *unter unbekannten Umständen* einfach abbricht, auf das man sich also nicht verlassen kann.

    Im ersten Fall weiß man, das keine Sicherung (Verschlüsselung) vorhanden ist und handelt entsprechend.



    1 mal bearbeitet, zuletzt am 14.05.18 17:11 durch floewe.

  5. Re: Vergleich

    Autor: Missingno. 14.05.18 - 17:33

    Demnach wäre auch *kein Sicherheitsgurt* sicherer als ein Gurt, der unter Umständen nicht funktioniert/das Aussteigen behindert/...?

    --
    Dare to be stupid!

  6. Re: Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: ul mi 14.05.18 - 17:42

    floewe schrieb:
    --------------------------------------------------------------------------------
    > >Ist *gar keine* Verschlüsselung besser als eine Verschlüsselung, die
    > *unter Umständen* geknackt werden kann?
    >
    > Ja, weil man sich nicht darauf verlassen kann.

    Mailverschlüsselung hat auch vorher nicht gegen unverschlüsseltes Weiterleiten, das Abfotografieren des Bildschirms, das Weitererzählen des Inhalts geholfen, von daher …

  7. Re: Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: throgh 14.05.18 - 22:03

    floewe schrieb:
    --------------------------------------------------------------------------------
    > Ja, weil man sich nicht darauf verlassen kann.
    >
    > Frei nach Fefe:
    > Im 10ten Stock eines Hochhauses ist *gar kein* Treppengeländer auf jeden
    > Fall sicherer, als ein Treppengeländer, das *unter unbekannten Umständen*
    > einfach abbricht, auf das man sich also nicht verlassen kann.
    >
    > Im ersten Fall weiß man, das keine Sicherung (Verschlüsselung) vorhanden
    > ist und handelt entsprechend.

    Ähm, wenn vorzugsweise HTML-Inhalte betroffen sind ... sollte man einfach wie schlicht genau darauf verzichten und Textnachrichten senden? Oder braucht man für Alles ein hübsches Layout? Meines Erachtens ist der Vergleich auch etwas weit hergeholt denn man kann auch daran arbeiten es wieder sicherer zu machen statt stetig nach dem nächstbesten "Protokoll" zu rufen.

  8. Re: Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: Mingfu 14.05.18 - 22:12

    Da HTML-Mails nun wahrlich keine seltenen Exoten sind, sondern nahezu schon der Regelfall, sollte ein Programm, dessen einziger Daseinszweck E-Mail-Verschlüsselung ist, sich nicht ausgerechnet da einen schlanken Fuß machen.

    Das ist ähnlich, als wäre die Verschlüsselung des Webbrowsers nur sicher, solange er lediglich reinen Plaintext anzeigen muss...



    1 mal bearbeitet, zuletzt am 14.05.18 22:12 durch Mingfu.

  9. Re: Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: jasager 14.05.18 - 23:34

    Nee, ich bin da ganz beim OP. Der Vergleich hinkt auch gewaltig. Ein besserer wäre:

    Profis kriegen jedes Schloss auf, also kann man auch gleich seine Tür offen stehen lassen.

  10. Re: Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: Mr Miyagi 15.05.18 - 00:09

    throgh schrieb:
    --------------------------------------------------------------------------------
    > Ähm, wenn vorzugsweise HTML-Inhalte betroffen sind ... sollte man einfach
    > wie schlicht genau darauf verzichten und Textnachrichten senden?

    Genau so sieht es aus. HTML-Mails sind absolut unnötig. Und man sollte sie, unabhängig von dem efail-Angriff, nicht nutzen.

    > Oder
    > braucht man für Alles ein hübsches Layout? Meines Erachtens ist der

    Volle Zustimmung. Meiner Meinung nach sollte man sich einfach an den Standard halten und HTML in Mails gar nicht interpretieren. Damit gehört dann efail, samt sämtlicher Privacy-Probleme der Vergangenheit an.

    > Vergleich auch etwas weit hergeholt denn man kann auch daran arbeiten es
    > wieder sicherer zu machen statt stetig nach dem nächstbesten "Protokoll" zu
    > rufen.

    Richtig, sehe ich auch so. Das Problem hier hat nichts mit Protokollen zu tun. Die Wurzel allen Übels sind Mailclients die ungefragt Daten an fremde Server senden. Das ist auch insbesondere ein Privacy-Problem bei unverschlüsselten Mails, Bsp.: Tracking-Pixel. Diese Privacy-Probleme sind auf die selbe Ursache zurückzuführen, der Mailclient lädt externe Inhalte. Die Tatsache, dass das auch in völliger Abwesenheit von GnuPG und sonstiger Verschlüsselungslösungen auftritt, zeigt auch sehr deutlich das das Problem ausschließlich in den Mail-Clients liegt und nicht in GnuPG.

    Glücklicherweise ist der Patch schnell geschrieben, einfach den HTML-Parser in die Tonne treten.

  11. Re: Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: Mr Miyagi 15.05.18 - 00:10

    jasager schrieb:
    --------------------------------------------------------------------------------
    > Nee, ich bin da ganz beim OP. Der Vergleich hinkt auch gewaltig. Ein
    > besserer wäre:
    >
    > Profis kriegen jedes Schloss auf, also kann man auch gleich seine Tür offen
    > stehen lassen.

    Bzw.: Baut eure Türen aus, jetzt! Jemand könnte das Schloß knacken ;)

  12. Re: Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: freebyte 15.05.18 - 00:36

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > Das ist ähnlich, als wäre die Verschlüsselung des Webbrowsers nur sicher,
    > solange er lediglich reinen Plaintext anzeigen muss...

    Du sprichst das eigentliche Problem an: Es nützt nichts, dass PGP et al sehr sicher sind wenn die HTML-Renderengine dahinter bei der Anzeige mit dem Dechiffrat Unfug treibt.

    Der Vergleich mit dem Webbrowser gilt nicht, andere Systhematik.

    fb

  13. Re: Ich verstehe trotzdem nicht, warum empfohlen wird auf Verschlüsselung zu verzichten.

    Autor: Quantium40 15.05.18 - 11:06

    throgh schrieb:
    > Ähm, wenn vorzugsweise HTML-Inhalte betroffen sind ... sollte man einfach
    > wie schlicht genau darauf verzichten und Textnachrichten senden?

    Die Mails, die man als Angreifer entschlüsseln lassen will, müssen gar kein HTML enthalten.
    Man braucht HTML an der Stelle nur in der Angreifermails hinterher, weil damit die entschlüsselte Version der verschlüsselten Originalmail zum Angreifer befördert wird.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Mitarbeiter*in mit Schwerpunkt Betrieb / Support von Arbeitsplatz-Komponenten
    Deutsche Bundesbank, Stuttgart
  2. Software-Manager Automotive mit Schwerpunkt Cyber Security (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. Projektmanager Digital Transformation (m/f/d)
    Lange Uhren GmbH, Glashütte, remote
  4. Mitarbeiter (m/w/d) IT Support / Service Desk
    Camfil APC GmbH, Tuttlingen, Reinfeld

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 760€
  2. (u. a. Godzilla vs. Kong, Halloween Kills, Fast & Furious: Hobbs & Shaw, Pleasure)
  3. 999€
  4. (u. a. SPC Gaming-Tisch elektrisch für 339,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


US-Militär: Kernkraft im Weltall von Vernunft bis möglichem Betrug
US-Militär
Kernkraft im Weltall von Vernunft bis möglichem Betrug

Zwei Techniken sollen 2027 mit Satelliten fliegen, ein Fusionsreaktor und eine Radioisotopenbatterie. Nur eine davon ist glaubwürdig.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Raketenabgase können die Atmosphäre schädigen
  2. Raumfahrt Raketenstufe mit Helikopter gefangen und wieder verloren
  3. Raumfahrt Rocketlab will eine Rakete per Helikopter auffangen

Bundeswehr: Das Heer will sich nicht abhören lassen
Bundeswehr
Das Heer will sich nicht abhören lassen

Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
Ein Bericht von Matthias Monroy

  1. Bundes-Klimaschutzgesetz Die Bundeswehr wird grüner
  2. 600 Millionen Euro Bundeswehr lässt Funkgeräte von 1982 nachbauen

Xiaomi Watch S1 Active im Test: Wenn sich beim Joggen der Schlafmodus meldet
Xiaomi Watch S1 Active im Test
Wenn sich beim Joggen der Schlafmodus meldet

Eine günstige Sportuhr mit gutem GPS-Modul - das wäre was! Leider hat die Watch S1 Active von Xiaomi zu viele Schwächen, um Spaß zu machen.
Von Peter Steinlechner

  1. Wearable Fossil präsentiert Hybrid-Smartwatch im Retrolook