Verschlüsselung ist nicht geknackt – wir müssen reden! #efail

15 Mai 2018 Kein Kommentar Autor: JDO

Da habe ich aber gestaunt, als er bei der Tagesschau entdeckte, dass die Verschlüsselung von E-Mails plötzlich binnen 5 Minuten geknackt werden kann. Zumindest suggeriert der Titel und der erste Absatz des Tagesschau-Artikels (und nicht nur da!) dass Verschlüsselung obsolet ist. Ich will auch gar nicht abstreiten, dass es eine Sicherheitslücke gibt, aber die ganze Verschlüsselung damit gleich ins Abseits stellen, ist maßlos übertrieben!

E-Mail entschlüsselt

Verschlüsselung für E-Mail ist unsicher – sagt die Tagesschau

So ganz stimmt das aber nicht, liebe Tagesschau!

Im weiteren Verlauf des Artikels ist zu lesen, dass nicht die Verschlüsselung das Problem ist, sondern diverse E-Mail-Clients. Wie funktioniert das?

  1. Um die Sicherheitslücke auszunutzen, fangen die Sicherheitsforscher das verschlüsselte E-Mail ab
  2. Der verschlüsselte Text wird danach in einer weitere Nachricht an den Empfänger geschickt und zwar so, dass er ihn nicht sehen kann
  3. Der E-Mail-Client entschlüsselt die Nachricht und schickt sie unbemerkt an den Anwender zurück

Die Sache funktioniert, wenn in den E-Mail-Clients HTML erlaubt ist. Dem technisch versierten Anwender fällt nun sofort eine Sache auf, oder? Nicht die Verschlüsselung versagt, sondern das E-Mail-Programm.

Die zweite Alarmglocke schrillt ebenfalls und Du prüfst hoffentlich gerade, ob eine Anzeige von HTML-Nachrichten per Standard erlaubt ist.

Etwas unverantwortlich von den Sicherheitsforschern?

Es ist aber auch nicht sehr nett von den Sicherheitforschern, solche Gerüchte zu streuen, die anscheinend nur eine Halbwahrheit sind. Das Team von GnuPG wurde zum Beispiel nicht kontaktiert und zur Sicherheitslücke befragt.

#efail

#efail ist ein Problem im E-Mail-Client

Weiterhin hat sich das Team von GnuPG ebenfalls geäußert und bestätigt, dass das Problem nicht bei der Verschlüsselung an sich liegt. OpenPGP funktioniert weiterhin!

Selbst die Sicherheitsforscher raten auf efail.de, dass man die Plugins für die Verschlüsselung deaktivieren soll und verschlüsselte Nachrichten mit einem externen Programm entschlüsseln soll.

Lange Rede … nicht das OpenPGP-Protokoll ist anfällig, sondern die Implementation der Verschlüsselungsmethoden in diverse E-Mail-Clients! Das ist ein riesiger Unterschied! Warum? Weil Verschlüsselung an sich weiterhin nicht geknackt werden kann. Wie ist das zu verstehen? Nehmen wir nun folgendes an:

  1. Ich verschlüssele ich mein E-Mail mit einem externen Programm
  2. Nun sende ich die Nachricht
  3. Der Empfänger kopiert den Inhalt und entschlüsselt ebenfalls mit einem externen Programm

In diesem Fall hat die Verschlüsselung weiterhin funktioniert, weil eben nicht automatisch entschlüsselt und zurück gesendet wurde.

Was ich etwas unverantwortlich finde, ist die (bewusste?) Panikmache, dass Verschlüsselung an sich ausgehebelt wurde. Nein, die Sicherheitslücke ist nicht schön und die Kombination bestehend aus Verschlüsselung und E-Mail ist bei diversen Clients erst einmal kaputt. Aber die Kirche müssen wir irgendwie schon auch im Dorf lassen.

Warum ist der kleine Unterschied so wichtig in Sachen Verschlüsselung ?

Das ist deswegen wichtig, weil Du zum Beispiel Deine privaten Schlüssel nicht erneuern musst. Sie sind nicht kompromittiert. Die Angreifer verwenden sie nur in einem automatisierten Verfahren und genau das ist die Sicherheitslücke. Selbst wenn Du die privaten Schlüssel änderst, funktioniert der Angriff weiterhin.

Verschlüsselung wird ja nicht nur bei E-Mails verwendet, sondern auch in anderen Bereichen der digitalen Kommunikation. Deswegen ist es immer positiv zu wissen, dass die Mechanismen der Implementierung versagt haben und nicht die Verschlüsselung an sich. Basteln wir eine Analogie zur Anonymität im Internet.

Verwendest Du zum Beispiel ein VPN, ist Deine Kommunikation ebenfalls verschlüsselt. Du hast die Möglichkeit, anonym im Internet zu surfen und das ist auch gut so. Datenschnüffler können zum Beispiel Deine IP-Adresse nicht auslesen. Meldest Du Dich nun aber bei einem Dienst wie Google oder Facebook an, dann wissen die natürlich schon, wer Du bist.

Willst Du komplett anonym im Internet surfen, gibst Deine Identität aber an Social Media und so weiter preis, hilft die beste Verschlüsselung der Kommunikationskanäle nichts mehr. Anders gesagt ist das VPN nicht schuld, wenn Du Deine Identität enthüllst, richtig?

Natürlich hat auch der VPN-Anbieter seinen Anteil daran, wie gut Deine Identität geschützt ist. Deswegen suche Dir einen vertrauenswürdigen Anbieter, der auf jeden Fall keine Logs speichert. Natürlich sind Funktionen wie Schutz vor DNS– oder IPv6-Lecks sowie ein Kill-Switch ebenfalls wünschenswert.

Meine Empfehlung: AirVPN oder NordVPN!

Interessierst Du Dich für technisch komplexere Themen wie Verschlüsselung bei E-Mails, dann kann ich Dich vielleicht für einen VPN Provider wie AirVPN (ab 2 Euro)* begeistern. Der Service wird von Aktivisten und Hacktivisten gemacht, die für Netzneutralität, Datenschutz und Privatsphäre einstehen.

Der Anbieter bietet mit Eddie einen Client für die prominenten Desktop-Betriebssysteme. Damit sind Windows, macOS und Linux gemeint. Android und iOS musst Du manuell konfigurieren. Auch für Router gibt es Konfigurationen. Willst Du Deine Mobilgeräte schützen, dann ist Dir vielleicht ein Anbieter wie NordVPN (top Preis-Leistung!)* lieber, der spezielle Apps für Android und iOS zur Verfügung stellt.

AirVPN arbeitet ausschließlich mit OpenVPN, aber es sind Verbindungen via Proxy, SOCKS, Tor, SSH Tunnel und SSL Tunnel möglich.

Wendest Du Dich an das Team, kannst Du eine kostenlose Testversion beantragen. Allerdings gibt es ein Paket, das nur 1 Euro kostet und 3 Tage lang gültig ist. Das ist ungewöhnlich, aber auch eine nette Sache. Das kurze Abonnement eignet sich nicht nur für Tests, sondern ist auch attraktiv, solltest Du ein VPN nur für ein paar Tage brauchen. Wir finden, dass man 1 Euro schon mal riskieren kann, oder?

Kleine Warnung: Der Service funktioniert super, wird auch von Nerds betrieben. Der Client kann aber etwas verwirrend sein.Funktionalität vor Benutzerfreundlichkeit – Nerds eben … sehr sympatisch 😉

Was ich derzeit für VPNs benutze?

Mein kleiner Favorit ist derzeit NordVPN *, aber auch AirVPN * finde ich Klasse. Manchmal nutze ich einfach meinen eigenen Server. NordVPN hat mir freundlicherweise einen Testzugang zur WireGuard-Implementierung des Unternehmens und das funktioniert schon sehr gut. Da freue ich mich schon, wenn es im großen Stil implementiert wird. Interessiert Dich, was NordVPN alles kann? Ich habe es für Dich übersichtlich zusammengefasst.

Für WireGuard habe ich allerdings an Mullvad einen kleinen Narren gefressen!

PIA (Private Internet Access) * hat übrigens ein sehr schönes GUI für Linux. Der Client ist wirklich Klasse und vor allen Dingen ist die Oberfläche auf Deutsch verfügbar.

Kostenlose VPNs benutze ich eigentlich nicht mehr. Das habe ich früher gemacht, aber ich zahle lieber für einen Service, weil das einfach erschwinglich ist. Es gibt ein Sprichwort und das heißt: Wenn es nichts kostet, bist Du das Produkt!

Dich interessieren Kryptowährungen? Ich handle via Binance*.

Am schnellsten kaufst Du Kryptowährungen / Bitcoin über Coinbase*.

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




NordVPN - günstig und ideal für Anfänger
 Alle Kommentare als Feed abonnieren

Antworten

Air VPN - The air to breathe the real Internet