{"id":122135,"date":"2018-05-14T14:03:16","date_gmt":"2018-05-14T12:03:16","guid":{"rendered":"https:\/\/www.ifun.de\/?p=122135"},"modified":"2018-05-14T14:16:41","modified_gmt":"2018-05-14T12:16:41","slug":"e-mail-verschluesselung-pgpgpg-und-smime-bieten-offenbar-angriffspotenzial","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/e-mail-verschluesselung-pgpgpg-und-smime-bieten-offenbar-angriffspotenzial-122135\/","title":{"rendered":"E-Mail-Verschl\u00fcsselung: PGP\/GPG und S\/MIME bieten offenbar Angriffspotenzial"},"content":{"rendered":"<p>Eine vermeintliche Sicherheitsl\u00fccke im Zusammenhang mit den E-Mail-Verschl\u00fcsselungsstandards PGP\/GPG und S\/MIME sorgt derzeit f\u00fcr Verunsicherung. Die durchaus seri\u00f6se Electronic Frontier Foundation (EFF) hat eine <a href=\"https:\/\/www.eff.org\/deeplinks\/2018\/05\/attention-pgp-users-new-vulnerabilities-require-you-take-action-now\">Warnung diesbez\u00fcglich ver\u00f6ffentlicht<\/a>, anerkannte Sicherheitsexperten wie <a href=\"https:\/\/twitter.com\/AlecMuffett\/status\/995941110567571456\">Alec Muffet<\/a> oder auch der GPG-Entwickler <a href=\"https:\/\/lists.gnupg.org\/pipermail\/gnupg-users\/2018-May\/060315.html\">Werner Koch<\/a> sind allerdings der Meinung, dass die EFF mit dem \u201eEfail\u201c getauften Thema zu viel Wind macht.<\/p>\n<p><a href=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2018\/05\/email-pgp-dp.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2018\/05\/email-pgp-dp.jpg\" alt=\"Email Pgp Dp\" width=\"500\" height=\"339\" class=\"alignnone size-full wp-image-122138\" srcset=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2018\/05\/email-pgp-dp.jpg 500w, https:\/\/images.ifun.de\/wp-content\/uploads\/2018\/05\/email-pgp-dp-300x203.jpg 300w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><\/a><\/p>\n<h6>Bilder: <a href=\"https:\/\/de.depositphotos.com\/\">depositphotos.com<\/a><\/h6>\n<p>Konkret soll eine Schwachstelle in den Verschl\u00fcsselungstechnologien im schlimmsten Fall zur Folge haben, dass verschl\u00fcsselte E-Mails unbefugten im Klartext angezeigt werden. Was genau hinter der Sache steckt, wollen die Sicherheitsforscher morgen erl\u00e4utern, bis dahin sollen Nutzer entsprechende Plugins deinstallieren und auch keine verschl\u00fcsselten Mails mehr lesen. \u00dcber die Schwachstelle sei es auch m\u00f6glich, bereits empfangene E-Mails zu entschl\u00fcsseln.<\/p>\n<p>Zum technischen Hintergrund gibt es bislang lediglich Spekulationen, dementsprechend ist es nicht m\u00f6glich, die Situation seri\u00f6s einzusch\u00e4tzen. Schlagzeilen wie \u201eSicherheitsforscher haben die beiden wichtigsten Verschl\u00fcsselungsverfahren f\u00fcr E-Mails gehackt\u201c scheinen jedenfalls \u00fcberzogen.<\/p>\n<h2>PGP-Plugins vor\u00fcbergehend entfernen<\/h2>\n<p>Wer auf Nummer sicher gehen will, entfernt bis weitere Informationen ver\u00f6ffentlicht werden zun\u00e4chst s\u00e4mtliche Verschl\u00fcsselungs-Plugins. Dadurch wird verhindert, dass verschl\u00fcsselte Mails angezeigt werden k\u00f6nnen &#8211; sowohl f\u00fcr euch, als auch f\u00fcr eventuelle Angreifer. Die Absender neu eingegangener Mails m\u00fcsstet ihr tempor\u00e4r dann auf anderen Wegen kontaktieren. Wie man die Plugins in Apple Mail deaktiviert, ist <a href=\"https:\/\/www.eff.org\/deeplinks\/2018\/05\/disabling-pgp-apple-mail-gpgtools\">hier erkl\u00e4rt<\/a>.<\/p>\n<h2>UPDATE: BSI liefert weitere Infos<\/h2>\n<p>Mittlerweile liegt auch eine <a href=\"https:\/\/www.bsi.bund.de\/DE\/Presse\/Pressemitteilungen\/Presse2018\/efail-schwachstellen_15052018.html\">Stellungnahme<\/a> des Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) vor. Dem zufolge l\u00e4sst sich eine Ausnutzung der Sicherheitsl\u00fccken durch kommende Updates und angepasstes Nutzungsverhalten vermeiden.<\/p>\n<blockquote>\n<p>Angreifer k\u00f6nnen demnach verschl\u00fcsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschl\u00fcsselung durch den Empf\u00e4nger im Klartext an sie ausgeleitet wird. Die genannten E-Mail-Verschl\u00fcsselungsstandards k\u00f6nnen nach Einsch\u00e4tzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.<br \/>Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empf\u00e4ngers haben. Zus\u00e4tzlich m\u00fcssen auf Empf\u00e4ngerseite aktive Inhalte erlaubt sein, also etwa die Ausf\u00fchrung von html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Ger\u00e4ten, in der Regel standardm\u00e4\u00dfig voreingestellt. Die Hersteller von E-Mailclients haben diesbez\u00fcglich Updates ihrer Produkte angek\u00fcndigt oder schon bereitgestellt. Unabh\u00e4ngig von speziellen Sicherheitsupdates sch\u00fctzt auch die sichere Konfiguration.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"<a href=\"https:\/\/www.ifun.de\/e-mail-verschluesselung-pgpgpg-und-smime-bieten-offenbar-angriffspotenzial-122135\/\"><img width=\"150\" height=\"150\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2018\/05\/email-pgp-dp-150x150.jpg\" class=\"alignright tfe wp-post-image\" alt=\"Email Pgp Dp\" decoding=\"async\" loading=\"lazy\" \/><\/a><p>Eine vermeintliche Sicherheitsl\u00fccke im Zusammenhang mit den E-Mail-Verschl\u00fcsselungsstandards PGP\/GPG und S\/MIME sorgt derzeit f\u00fcr Verunsicherung. Die durchaus seri\u00f6se Electronic Frontier Foundation (EFF) hat eine Warnung diesbez\u00fcglich ver\u00f6ffentlicht, anerkannte Sicherheitsexperten wie Alec Muffet oder auch der GPG-Entwickler Werner Koch sind allerdings der Meinung, dass die EFF mit dem \u201eEfail\u201c getauften Thema zu viel Wind macht. Bilder: [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":122138,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[412,1947,4136,92],"class_list":["post-122135","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","tag-e-mail","tag-pgp","tag-smime","tag-sicherheit"],"acf":[],"aioseo_notices":[],"subheadline":["E-Mail-Standards mit Sicherheitsl\u00fccken"],"featured_image":["https:\/\/images.ifun.de\/wp-content\/uploads\/2018\/05\/decrypt-dp.jpg"],"rest_api_enabler":{"subheadline":"E-Mail-Standards mit Sicherheitsl\u00fccken","featured_image":"https:\/\/images.ifun.de\/wp-content\/uploads\/2018\/05\/decrypt-dp.jpg"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/122135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=122135"}],"version-history":[{"count":6,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/122135\/revisions"}],"predecessor-version":[{"id":122141,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/122135\/revisions\/122141"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/122138"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=122135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=122135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=122135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}