Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Verschlüsselung: PGP und S…

Details sind draußen

  1. Thema

Neues Thema Ansicht wechseln


  1. Details sind draußen

    Autor: DreckigerHeinrich 14.05.18 - 12:42

    Der Angriff wurde EFAIL getauft und wird hier erklärt: https://efail.de

  2. Re: Details sind draußen

    Autor: theojk 14.05.18 - 12:54

    Das klingt nicht nach Fehler in PGP, sondern nach schlichtem Fehler im Client, der so dämlich ist, die entschlüsselte Email als Teil einer URL in das Internet zu schicken. Lösung? nicht PGP abschalten, sondern die Anzeige auf nur Text umschalten und HTML vergessen....so wie es mein Client schon immer tat...

  3. Re: Details sind draußen

    Autor: Vögelchen 14.05.18 - 12:58

    Kann ich bei meinem schon seit Jahrzehnten benutzten Client leider nicht. Wenn eine eMail keinen Textteil hat, dann wird immer HTML gerendert.
    Allerdings greift der dabei nicht auf das Internet zu, meine ich.

    Also sicher?

  4. Re: Details sind draußen

    Autor: DreckigerHeinrich 14.05.18 - 13:18

    @theojk Sehe ich genau so. PGP ist natürlich nicht geknackt (wer hätte das gedacht) und Exploits über HTML für Thunderbird und Co. werden immer wieder auftauchen. Daher ist es nur vernünftig auf Schnickschnack wie HTML in E-Mails zu verzichten und die Angriffsfläche für potentielle Exploits zu minimieren. Keep it simple, stupid.

  5. Re: Details sind draußen

    Autor: Mingfu 14.05.18 - 13:48

    theojk schrieb:
    --------------------------------------------------------------------------------
    > Das klingt nicht nach Fehler in PGP, sondern nach schlichtem Fehler im
    > Client, der so dämlich ist, die entschlüsselte Email als Teil einer URL in
    > das Internet zu schicken.

    Ich frage mich eher, wie es sein kann, dass obwohl solche Dinge wie Orakelangriffe wirklich nicht neu sind und es für Authenticated Encryption ebenfalls schon seit Ewigkeiten etablierte Verfahren gibt, es noch Protokolle geben kann, die von all dem völlig unberührt geblieben sind und dort bestenfalls eine halbgare Frickellösung empfehlen. DAS ist sehr wohl ein Fehler in PGP.

  6. Re: Details sind draußen

    Autor: stiGGG 14.05.18 - 13:55

    Vögelchen schrieb:
    --------------------------------------------------------------------------------
    > Kann ich bei meinem schon seit Jahrzehnten benutzten Client leider nicht.
    > Wenn eine eMail keinen Textteil hat, dann wird immer HTML gerendert.
    > Allerdings greift der dabei nicht auf das Internet zu, meine ich.
    >
    > Also sicher?

    Wenn du die Frage beantwortet haben willst, solltest du schon verraten welchen Client du verwendest. Ob externer Content nachgeladen wird ist hier nämlich der entscheidende Punkt.

  7. Re: Details sind draußen

    Autor: Spaghetticode 14.05.18 - 14:40

    theojk schrieb:
    --------------------------------------------------------------------------------
    > Das klingt nicht nach Fehler in PGP, sondern nach schlichtem Fehler im
    > Client, der so dämlich ist, die entschlüsselte Email als Teil einer URL in
    > das Internet zu schicken.

    Offenbar hat zu dieser Lücke beigetragen, dass man (mittels HTML-E-Mails) Inhalte von externen Webservern nachladen kann. Diese Möglichkeit wird von E-Mail-Versendern, insbesondere Newsletterversendern, gerne genutzt. Was ich als Unsitte empfinde:

    1. Datenschutz: Man baut irgendwelche Tracking-Pixel ein, damit der Versender jedes Mal, wenn ich die E-Mail öffne, eine Rückmeldung bekommt. Zusätzlich bekommt er noch meine IP-Adresse und den verwendeten E-Mail-Client bzw. Browser raus.
    2. Usability: Moderne E-Mail-Clients verhindern erst einmal das Nachladen. Ich bekomme einen nervigen Hinweisbalken eingeblendet und die E-Mail sieht „kaputt“ aus.
    3. Usability: Ich bin nicht in der Lage, die E-Mails offline zu lesen.
    4. Usability: Die Inhalte verbrauchen mein Datenvolumen, ohne, dass das vorher angezeigt wird.
    5. Usability: Der Absender kann die Inhalte auf seinem Webserver löschen oder verändern. Ich kann mir nicht sicher sein, dass die E-Mail dauerhaft so aussieht wie beim ersten Öffnen; es kann gut möglich sein, dass ich nach einiger Zeit eine „kaputte“ oder gar inhaltlich veränderte E-Mail vorfinde.
    6. Sicherheit: Der Webserver mit den externen Inhalten kann einen Benutzername/Passwort-Eingabedialog auslösen, unbedarfte Nutzer könnten dazu verleitet werden, Benutzername/Passwort ihres E-Mail-Accounts dort einzugeben.
    7. Sicherheit: Und jetzt kann ein möglicher Angreifer auch noch die Klartexte verschlüsselter E-Mails darüber abziehen.

    Dabei ist es möglich, die Bilder auch in die E-Mail einzubetten, sodass kein Nachladen externer Inhalte nötig ist. Warum die Versender diese Zumutung trotz der Nachteile dennoch verwenden, weiß ich nicht; insbesondere Punkt 2 fällt doch nahezu jedem E-Mail-Empfänger negativ auf.

    Als Empfänger kann man sich folgendermaßen schützen:
    - Entweder die HTML-Anzeige ausschalten*
    - Oder das Nachladen externer Bilder ausschalten (kein Whitelisting bekannter E-Mail-Adressen) und beim Klicken von Links aufpassen

    Als Absender kann man sich folgendermaßen schützen:
    - Ganz einfach die E-Mail mit „"/>“ beginnen

    * Was ich aus Usability-Sicht eine Katastrophe finde, da Plaintext-E-Mails den gravierenden Nachteil haben, keine Textformatierung und Bilder zu erlauben und Links im Volltext angezeigt werden. Man stelle sich vor, eine Zeitschrift hätte so einen unformatierten Text ohne Seitenzahlen und Bilder im Fließtext; die Bilder sind alle am Ende der Zeitschrift mit Verweisen à la „(siehe Bild 5)“ im Fließtext. Absender könnten verleitet werden, den E-Mail-Inhalt als Webseite, PDF oder gar Office-Dokument zur Verfügung zu stellen und den eigentlichen E-Mail-Text ohne Inhalt zu lassen. Das ist aus Usability-, Sicherheits- und Datenschutzsicht noch schlechter als eine HTML-E-Mail.

  8. Re: Details sind draußen

    Autor: Mingfu 14.05.18 - 15:23

    Spaghetticode schrieb:
    --------------------------------------------------------------------------------
    > Dabei ist es möglich, die Bilder auch in die E-Mail einzubetten, sodass
    > kein Nachladen externer Inhalte nötig ist. Warum die Versender diese
    > Zumutung trotz der Nachteile dennoch verwenden, weiß ich nicht;

    Weil es die E-Mails ziemlich aufbläht - bei Massenversand spielt das definitiv eine Rolle, gerade weil E-Mails wegen der Base64-Kodierung Binärdaten auch nur mit entsprechendem Overhead transportierten können. Bei Newslettern und ähnlich nervenden Werberundschreiben, die nur ein Bruchteil der Empfänger überhaupt interessiert zur Kenntnis nimmt, wäre das schon eine ziemliche Verschwendung. Zumal es auch das E-Mail-Postfach des Empfängers entsprechend befrachtet.

    Dass es gerade im Werbeumfeld auch noch Tracking ermöglicht, ob der Empfänger die Nachricht geöffnet hat, wann er das gemacht hat, wie viele Nachrichten er öffnet usw. ist natürlich ein ebenfalls gern mitgenommener Effekt.

  9. Re: Details sind draußen

    Autor: theojk 14.05.18 - 17:08

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > theojk schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das klingt nicht nach Fehler in PGP, sondern nach schlichtem Fehler im
    > > Client, der so dämlich ist, die entschlüsselte Email als Teil einer URL
    > in
    > > das Internet zu schicken.
    >
    > Ich frage mich eher, wie es sein kann, dass obwohl solche Dinge wie
    > Orakelangriffe wirklich nicht neu sind und es für Authenticated Encryption
    > ebenfalls schon seit Ewigkeiten etablierte Verfahren gibt, es noch
    > Protokolle geben kann, die von all dem völlig unberührt geblieben sind und
    > dort bestenfalls eine halbgare Frickellösung empfehlen. DAS ist sehr wohl
    > ein Fehler in PGP.

    NEIN. Die Verschlüsselung PGP ist nicht das Problem, sondern wie sie benutzt wird durch den Client. Dummer Client = Problem. Einfacher Client=kein Problem.

  10. Re: Details sind draußen

    Autor: alcon 15.05.18 - 00:53

    theojk schrieb:
    >
    > NEIN. Die Verschlüsselung PGP ist nicht das Problem, sondern wie sie
    > benutzt wird durch den Client. Dummer Client = Problem. Einfacher
    > Client=kein Problem.

    Korrekt.
    Die Information, die PGP sicher zum Empfaenger transportiert wird vom Empfaenger Client entschluesselt und dann weiterverarbeitet. Bei dieser Verarbeitung werden dann Daten mittels GET/POST/... aus dem geschuetzten Bereich uebermittelt.
    Wenn der Client das automatisch durchfuehrt, dann ist das natuerlich garnicht gut.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Meckenheim, München, deutschlandweit
  2. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  3. Rational AG, Landsberg am Lech
  4. Explicatis GmbH, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-70%) 8,99€
  2. (-84%) 3,99€
  3. 4,99€
  4. 34,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Autonomes Fahren: Per Fernsteuerung durch die Baustelle
Autonomes Fahren
Per Fernsteuerung durch die Baustelle

Was passiert, wenn autonome Autos in einer Verkehrssituation nicht mehr weiterwissen? Ein Berliner Fraunhofer-Institut hat dazu eine sehr datensparsame Fernsteuerung entwickelt. Doch es wird auch vor der Technik gewarnt.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Apple kauft Startup Drive.ai
  2. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
  3. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

  1. Funklöcher: Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück
    Funklöcher
    Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück

    Nach den Vorwürfen eines Ortsteilbürgermeisters bei der Standortauswahl in einem Ort in Thüringen sieht sich die Telekom missverstanden. Auch sei die Ausleuchtung beider Ortsteile mit einer Antenne nicht möglich, sagt ein Sprecher.

  2. Bethesda: Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen
    Bethesda
    Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen

    Kein anonymes Regime, sondern Nazis und keine erfundenen Symbole, sondern Hakenkreuze: Wolfenstein Youngblood und das VR-Actionspiel Cyberpilot erscheinen auch in Deutschland in einer ungeschnittenen Version.

  3. Roli Lumi: Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen
    Roli Lumi
    Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen

    Roli will Anfängern den Einstieg in das Musikmachen erleichtern und finanziert deshalb auf Kickstarter das Roli-Lumi-Keyboard mit passender App. Nutzer lernen damit, Lieder zu spielen, indem das Keyboard die richtigen Tasten aufleuchten lässt. Es lassen sich zwei Keyboards zu einem größeren zusammenstecken.


  1. 18:13

  2. 17:54

  3. 17:39

  4. 17:10

  5. 16:45

  6. 16:31

  7. 15:40

  8. 15:27