1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PGP/SMIME: Die wichtigsten Fakten zu…

DKIM maybe?

  1. Thema

Neues Thema Ansicht wechseln


  1. DKIM maybe?

    Autor: My1 22.05.18 - 15:44

    könnte es nciht auch helfen DKIM-checks vor PGP laufen zu lassen und wenn der DKIM failt zu sagen keine decryption.

    Asperger inside(tm)

  2. Re: DKIM maybe?

    Autor: Anonymer Nutzer 22.05.18 - 16:10

    dkim ist dafür nicht gedacht und funktioniert auch ganz anders. der hash von dkim über den body muss z.b. nicht unbedingt den gesamten body beinhalten. dkim ist kein ersatz für email verschlüsselung. ende-zu-ende ist es schon gar nicht.

  3. Re: DKIM maybe?

    Autor: My1 22.05.18 - 16:13

    Dkim ist kein Ersatz für crypto aber wenn dkim den bodyhash drin hat isses gut um vor mods zu schützen

    Asperger inside(tm)

  4. Re: DKIM maybe?

    Autor: Anonymer Nutzer 22.05.18 - 16:31

    leider nicht im geringsten.

    man nimmt aus einem email den verschlüsselten text heraus und packt ihn in ein neues email. dieses schickt man an das opfer. dkim kann nicht verhindern, dass man teile einer nachricht in eine neue packt.

    dkim verwendet meistens kurze rsa keys. ecc keys sind im kommen, werden aber doch noch von vielen smtp servern nicht unterstützt. lange rsa keys würden zum einen größere performance beim signieren und verifizieren brauchen und zusätzlich noch große probleme im dns verursachen, da sie eben für dns und udp zu groß werden könnten. in der sehr sinnvollen kombination mit dnssec noch mehr.

    außerdem ist nur smime hier unsicher... leider wird es gebetsmühlenartig immer wiederholt falsch dargestellt, aber tatsache ist, dass gpg einen _fehler_ zurückgibt, sobald der mdc bei mit aes (und twofish) verschlüsselten nachrichten fehlt oder fehlerhaft ist. es wird hier so dargestellt, als ob gpg nur warnen würde. das stimmt einfach nicht. die mailclients sind fehlerhaft implementiert, weil sie den fehler ignorieren.

  5. Re: DKIM maybe?

    Autor: My1 22.05.18 - 16:33

    Naja aber wenn wie dmarc bzw adsp dkim erzwungen wird.

    Asperger inside(tm)

  6. Re: DKIM maybe?

    Autor: Anonymer Nutzer 22.05.18 - 16:43

    wenn du den cipher text aus dem einen email heraus holst und in ein anderes einbaust, dieses andere email verschickst, wird eine komplett neue dkim signatur erzeugt. und diese ist dann wiederum vollkommen ok. eine dkim signatur sagt nur aus, dass ein email durch einen bestimmten smtp server (bzw. eine gruppe davon) gegangen ist und nicht verändert wurde. es sagt nicht aus, dass ein x-beliebiger cipher text, den eine person irgendwann erstellt hat, unverändert ist.

  7. Re: DKIM maybe?

    Autor: My1 22.05.18 - 16:54

    dazu muss man aber zugriff auf den absenderserver haben, viel spaß.

    oder eben die mail adresse verändern aber so ne mail würde ich net öffnen. oder zumindest keine ext zugriffe erlauben

    Asperger inside(tm)

  8. Re: DKIM maybe?

    Autor: Anonymer Nutzer 22.05.18 - 18:25

    beide efail lücken setzen voraus, dass der angreifer die verschlüsselten emails besitzt. man kann davon ausgehen, dass jene, die das tun, auch zugriff auf die entsprechenden smtp server bekommen können und damit korrekte dkim signaturen erzeugen.

    aufrufe zu externen quellen nicht zu erlauben, ist immer eine kluge idee. allerdings muss das zeug auch sicher sein, wenn diese aufrufe nötig sind für ein email. es macht allerdings sinn, auch html emails so zu designen, dass diese nicht nötig sind.

  9. Re: DKIM maybe?

    Autor: My1 22.05.18 - 18:27

    wenn der angreifer nur zugriff auf den zielserver hat oder einfach mitmen kann (denn certs werden ja eigentlich bei mail leider iirc nicht geprüft) dann geht das auch ohne dass ein angreifer an die keys kann.

    Asperger inside(tm)

  10. Re: DKIM maybe?

    Autor: Anonymer Nutzer 22.05.18 - 18:45

    man muss hier gpg und email trennen, um es zu verstehen. gpg verschlüsselt nicht das email. es verschlüsselt einen mime part des emails. das email besteht auf vielen teilen. viele teile eines vermeintlich mit gpg verschlüsselten emails sind unverschlüsselt. zb der betreff.

    schickst du jemandem ein gpg verschlüsseltes email, wird der body verschlüsselt. diesen body kann ich von dem von dir verschlüsselten email einfach abtrennen. hab ich das getan, interessiert sich dkim nicht im geringsten dafür. ich kann jetzt den verschlüsselten body entsprechend der lücke verändern und in diesem zusammenhang den mdc entfernen. dein gpg wird nämlich sicher einen angehängt haben, sofern du nicht absichtlich deine gpg konfiguration unsicher gemacht hast. danach erzeuge ich ein komplett neues email und schicke das korrekt präpariert noch mal den den empfänger. dkim ist das vollkommen egal. es hat damit nicht das geringste zu tun, weil ich ein neues email mit verändertem cipher text erzeuge.

  11. Re: DKIM maybe?

    Autor: My1 22.05.18 - 18:49

    das problem ist wenn die Adresse des Empfängers DKIM erwartet (ADSP oder DKIM lässt grüßen) und wenn in DKIM der bodyhash drin ist kannste nicht den body verändern.

    und bei ner verschlüsselten email von unbekannt wäre ich erstmal kritisch.

    Asperger inside(tm)

  12. Re: DKIM maybe?

    Autor: Anonymer Nutzer 22.05.18 - 18:56

    wenn wir mal davon ausgehen, dass eine korrekte dkim signatur auf allen smtp servern erzeugt und verlangt wird.

    ich kann den body deines original emails nicht verändern, ohne dass die signature danach fehlerhaft ist. ich kann aber den body deines original emails nehmen, der lücke entsprechend verändern und in ein neues email packen. dkim kann das nicht verhindern. und jetzt geb ich es auf, wenns immer noch nicht klar ist... :-(

  13. Re: DKIM maybe?

    Autor: My1 22.05.18 - 19:24

    ja klar aber das neue email kann nicht mit der ori adresse gesendet werdenm dank dkim zwang der domain. und wenn n unbekannter mir plötzlich was verschlüsselt sendet werde ich misstrauisch.

    Asperger inside(tm)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Stadt Hildesheim, Hildesheim
  2. NETZSCH Pumpen & Systeme GmbH, Waldkraiburg
  3. Hessisches Ministerium der Finanzen, Wiesbaden
  4. Rosemarie Eppers GmbH & Co. KG, Saarbrücken

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X für 359€, Ryzen 7 5800X für 489€)
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


USA: Die falsche Toleranz im Silicon Valley muss endlich aufhören
USA
Die falsche Toleranz im Silicon Valley muss endlich aufhören

Github wirft einen Juden raus, der vor Nazis warnt, weil das den Betrieb stört. Das ist moralisch verkommen - wie üblich im Silicon Valley.
Ein IMHO von Sebastian Grüner

  1. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona
  2. CD Projekt Red Crunch trifft auf Cyberpunk 2077
  3. Open Source Niemand hat die Absicht, Sicherheitslücken zu schließen

Westküste 100: Wie die Energiewende an der Küste aussehen soll
Westküste 100
Wie die Energiewende an der Küste aussehen soll

An der Nordseeküste stehen die Windräder auch bei einer frischen Brise oft still. Besser ist, mit dem Strom Wasserstoff zu erzeugen. Das Reallabor Westküste 100 testet das.
Ein Bericht von Werner Pluta

  1. 450 MHz Energiewirtschaft gewinnt Streit um Funkfrequenzen
  2. Energiewende Statkraft baut Schwungradspeicher in Schottland

Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing

  1. Bug: Tausende Daten aus britischen Polizeiakten gelöscht
    Bug
    Tausende Daten aus britischen Polizeiakten gelöscht

    Das britische Innenministerium hat versehentlich die Daten gelöscht, die es behalten wollte. Darunter auch Fingerabdrücke und DNA-Daten.

  2. Backhaul: Satellit kann 5G ermöglichen
    Backhaul
    Satellit kann 5G ermöglichen

    Das Deutsche Zentrum für Luft- und Raumfahrt hält die neue Satellitentechnik für tauglich, bei 5G als Backhaul zu agieren. Bis zu 100 MBit/s im Download und 6 MBit/s im Upload seien mit modernen, geostationären Satelliten möglich.

  3. Kriminalität: Microsoft-Betrüger erbeuten 20.000 Euro von Rentnerin
    Kriminalität
    Microsoft-Betrüger erbeuten 20.000 Euro von Rentnerin

    Die Täter gaben sich als Microsoft-Mitarbeiter aus und erfragten die Daten für das Onlinebanking. Als die Betroffene von der Masche erfuhr, war das Geld schon weg.


  1. 18:58

  2. 18:32

  3. 18:02

  4. 17:37

  5. 17:17

  6. 17:00

  7. 16:24

  8. 15:12