1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PGP/SMIME: Die wichtigsten Fakten zu…

Und immer noch der gleiche mist von der EFail Seite. – Hier was wirklich der Fall ist.

  1. Thema

Neues Thema Ansicht wechseln


  1. Und immer noch der gleiche mist von der EFail Seite. – Hier was wirklich der Fall ist.

    Autor: wanne 28.05.18 - 11:55

    Wurden die Entwickler von GnuPG nicht informiert?
    > November 2017 wurden die betroffenen Projekte informiert.
    Was richtig ist:
    Werner Koch (alleine) wurde im im November 2017 mit der aussage kontaktiert, dass GPG Fehler in MDC nicht korrekt weitergibt. Koch antwortete darauf, dass Sein Library korrekter weise Fehler aus gibt. (Die Mail enthält kein Wort darüber, dass das Problem ist, dass Outlook und Thunderbird/enigmail die lib gar nicht nutzen und den Fehler im Commandline-Tool ignorieren.)
    Ihm wurde des weiteren ausdrücklich untersagt die entsprechend verantworklichen Leute anzuschreiben.
    (Ich nehme stark an, dass die Leute von E-Fail da noch keinen blassen Schimmer hatten wie man die Lücke wirklich ausnutzen kann.)
    Erste konkrete und korrekte Angaben zum Angriff gab es erst im Februar an die enigmail-Leute. Die bauten ein Workaround für den vorgestellten Angriff und Thunderbird wollte das Problem bis im Juni endgültig behoben haben.
    Dann kam im Mai die Veröffentlichung mit einem weiteren Angriff der den Workaround umging ohne weitere Ankündigungen.
    Die meisten anderen Projekte bekamen gar keine Infos.

    Handelte es sich nur um Bugs in E-Mail-Clients?
    > Dass verschlüsselte Nachrichten manipuliert werden können, liegt an den verwendeten Verschlüsselungsverfahre
    Das ist zwar richtig. Aber beide Verfahren waren sich dessen von Anfang an bewusst. beide Verfahren setzen auf Signaturen um Manipulationen zu verhindern. Diese sind nicht gebrochen. Ein zusätzlicher Manipulationsschutz in der Verschlüsselung ist deswegen erstmal unnötig. Problematisch wird das nur wenn Mailclienten trotz kaputter oder nicht vertrauenswürdiger Signatur geheime Inhalte weitergeben. Oder Kurz: Wenn ein Client eine Remote-Executrion-Lücke hat.

    Was ist das Problem mit der GnuPG-API?
    > Zunächst muss man wissen, dass GnuPG keine Bibliothek bereitstellt.
    Geht man auf die Seite von GnuPG und drückt auf Software wird (und wurde) man gefragt ob man eine Library, ein Frontend oder Tool haben will. Jetzt ratet mal was kommt, wenn man auf Library klickt? Eine Library in C und diverse Links auf Librarys in allen anderen erdenklichen Sprachen. Daneben diverse Low Level Crypto APIs. Wenn man auf Frontend klickt bekommt man natürlich ein Frontend. Dabei aber auch einige die ein Fest definiertes Netzwerkprotokoll haben. Wer das Kommandozeilentool falsch benutzt ist selbst schuld.

    Reicht es, externe Inhalte zu blockieren?
    > Doch es gibt andere denkbare Szenarien.
    > […] den verschlüsselten Mailinhalt in einem HTML-Formular platzieren und dann an den Angreifer schicken kann […] So ließe sich auch eine PDF konstruieren, die externe Inhalte nachlädt.
    Also andere Szenarien zum nachladen von externen Inhalten sind das nachladen von externen Inhalten oder das nachladen von externen Inhalten. – Klar.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. KION Group AG, Frankfurt am Main
  2. Vorwerk Services GmbH, Wuppertal
  3. OGS Gesellschaft für Datenverarbeitung und Systemberatung mbH, Koblenz
  4. Dataport, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Samsung Galaxy S10 128 GB für 555€ statt 599€ im Vergleich und Sony Xperia 10 21:9 64...
  2. (u. a. HP Omen 25 FHD/144 Hz für 169€, MSI Optix MAG271CQP WQHD/144 Hz für 339€ und...
  3. 159€ (neuer Tiefpreis)
  4. 119,90€ (Vergleichspreis 148,95€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Radeon RX 5600 XT im Test: AMDs Schneller als erwartet-Grafikkarte
Radeon RX 5600 XT im Test
AMDs "Schneller als erwartet"-Grafikkarte

Für 300 Euro ist die Radeon RX 5600 XT interessant - trotz Konkurrenz durch Nvidia und AMD selbst. Wie sehr die Navi-Grafikkarte empfehlenswert ist, hängt davon ab, ob Nutzer sich einen Flash-Vorgang zutrauen.
Ein Test von Marc Sauter

  1. Grafikkarte AMD bringt RX 5600 XT im Januar
  2. Grafikkarte Radeon RX 5600 XT hat 2.304 Shader und 6 GByte Speicher
  3. Radeon RX 5500 XT (8GB) im Test Selbst mehr Speicher hilft AMD nicht

Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

  1. Wasserverbrauch: Musk verteidigt Gigafactory als umweltfreundlich
    Wasserverbrauch
    Musk verteidigt Gigafactory als umweltfreundlich

    Nach Kritik aus der Bevölkerung hat sich Tesla-Chef Elon Musk persönlich in die Debatte um die geplante Gigafactory für Elektroautos in Brandenburg eingeschaltet. Auch die Landesregierung sieht die Gerüchteküche brodeln.

  2. United States Space Force: Sternenflotten-artiges Logo verärgert Star-Trek-Fans
    United States Space Force
    Sternenflotten-artiges Logo verärgert Star-Trek-Fans

    Präsident Donald Trump hat das Logo der Space Force präsentiert, einer neuen Teilstreitkraft der Vereinigten Staaten. Weil das Logo der Militärsparte stark an das der Sternenflotte von Star Trek erinnert, gibt es Kritik.

  3. ROG Strix XG17AHPE: Asus zeigt USB-Monitor mit 17 Zoll und 240 Hz
    ROG Strix XG17AHPE
    Asus zeigt USB-Monitor mit 17 Zoll und 240 Hz

    Portables Display für unterwegs: Der ROG Strix XG17AHPE ist ein 17-Zöller mit 1080p-Auflösung und 240 Hz. Laut Asus eignet sich der Bildschirm für Gaming am Notebook, selbst ein Akku ist integriert.


  1. 13:15

  2. 12:50

  3. 11:43

  4. 19:34

  5. 16:40

  6. 16:03

  7. 15:37

  8. 15:12