1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PGP/SMIME: Die wichtigsten Fakten zu…

Und immer noch der gleiche mist von der EFail Seite. – Hier was wirklich der Fall ist.

  1. Thema

Neues Thema Ansicht wechseln


  1. Und immer noch der gleiche mist von der EFail Seite. – Hier was wirklich der Fall ist.

    Autor: wanne 28.05.18 - 11:55

    Wurden die Entwickler von GnuPG nicht informiert?
    > November 2017 wurden die betroffenen Projekte informiert.
    Was richtig ist:
    Werner Koch (alleine) wurde im im November 2017 mit der aussage kontaktiert, dass GPG Fehler in MDC nicht korrekt weitergibt. Koch antwortete darauf, dass Sein Library korrekter weise Fehler aus gibt. (Die Mail enthält kein Wort darüber, dass das Problem ist, dass Outlook und Thunderbird/enigmail die lib gar nicht nutzen und den Fehler im Commandline-Tool ignorieren.)
    Ihm wurde des weiteren ausdrücklich untersagt die entsprechend verantworklichen Leute anzuschreiben.
    (Ich nehme stark an, dass die Leute von E-Fail da noch keinen blassen Schimmer hatten wie man die Lücke wirklich ausnutzen kann.)
    Erste konkrete und korrekte Angaben zum Angriff gab es erst im Februar an die enigmail-Leute. Die bauten ein Workaround für den vorgestellten Angriff und Thunderbird wollte das Problem bis im Juni endgültig behoben haben.
    Dann kam im Mai die Veröffentlichung mit einem weiteren Angriff der den Workaround umging ohne weitere Ankündigungen.
    Die meisten anderen Projekte bekamen gar keine Infos.

    Handelte es sich nur um Bugs in E-Mail-Clients?
    > Dass verschlüsselte Nachrichten manipuliert werden können, liegt an den verwendeten Verschlüsselungsverfahre
    Das ist zwar richtig. Aber beide Verfahren waren sich dessen von Anfang an bewusst. beide Verfahren setzen auf Signaturen um Manipulationen zu verhindern. Diese sind nicht gebrochen. Ein zusätzlicher Manipulationsschutz in der Verschlüsselung ist deswegen erstmal unnötig. Problematisch wird das nur wenn Mailclienten trotz kaputter oder nicht vertrauenswürdiger Signatur geheime Inhalte weitergeben. Oder Kurz: Wenn ein Client eine Remote-Executrion-Lücke hat.

    Was ist das Problem mit der GnuPG-API?
    > Zunächst muss man wissen, dass GnuPG keine Bibliothek bereitstellt.
    Geht man auf die Seite von GnuPG und drückt auf Software wird (und wurde) man gefragt ob man eine Library, ein Frontend oder Tool haben will. Jetzt ratet mal was kommt, wenn man auf Library klickt? Eine Library in C und diverse Links auf Librarys in allen anderen erdenklichen Sprachen. Daneben diverse Low Level Crypto APIs. Wenn man auf Frontend klickt bekommt man natürlich ein Frontend. Dabei aber auch einige die ein Fest definiertes Netzwerkprotokoll haben. Wer das Kommandozeilentool falsch benutzt ist selbst schuld.

    Reicht es, externe Inhalte zu blockieren?
    > Doch es gibt andere denkbare Szenarien.
    > […] den verschlüsselten Mailinhalt in einem HTML-Formular platzieren und dann an den Angreifer schicken kann […] So ließe sich auch eine PDF konstruieren, die externe Inhalte nachlädt.
    Also andere Szenarien zum nachladen von externen Inhalten sind das nachladen von externen Inhalten oder das nachladen von externen Inhalten. – Klar.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Essen
  2. über duerenhoff GmbH, Raum Würzburg
  3. über duerenhoff GmbH, Raum Karlsruhe
  4. über duerenhoff GmbH, Raum Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. EVGA GeForce 3070 XC3 ULTRA GAMING für 774€, INNO3D GeForce RTX 3090 iChill X4 für 1...
  2. ab 1.199,00€ (bei acer.com)
  3. 99,90€ (Vergleichspreis 125€)
  4. (u. a. Moto G9 Plus 128GB 6,8 Zoll für 209,99€, Bosch Professional 12V System Akku-Bohrschrauber...


Haben wir etwas übersehen?

E-Mail an news@golem.de