Falk Dübbert ...

Die Verschlüsselung ist doch nicht tot!

| Keine Kommentare

Momentan geht bei einigen Leuten in meinem Freundeskreis die Düse, weil "PGP und S-MIME gebrochen" wären. 

Zunächst mal die Verschlüsselung ist nicht gebrochen sondern die Online Nutzung von E-Mail-Programmen mit Verschlüsselung. 

  • Der Angreifer muss die zu entschlüsselnde Nachricht abgefangen oder extrahiert haben. 
  • Die Sicherheitslösung muss defekte Anhänge durchlassen.
  • Das verwendete E-Mail-Programm muss selbst http bzw. https-Verbindungen aufbauen können und dürfen. 
  • Das verwendete E-Mail-Programm muss so eingestellt sein, dass es den Schlüssel selbst anwenden darf.  

Da wird die Sache schon dünner:

  • Mein E-Mail-Provider nutzt Zertifikats-Pinning für seine SMTPs und bietet auch secure-DNS an. 
  • Alle Beispiel-Konstrukte von Schinzel et al schafften es nicht mal durch eine opensource eFa-Email-Sicherheitslösung.
    Barracuda, Sophos und Watchguard verwarfen die defekten Anhänge ebenfalls. 
  • Meine Email-Software darf nichts nachladen. 
  • Selbst mein stinkendes Outlook muss vor dem Entschlüsseln von Mails nach dem Passwort für den Schlüssel fragen. Ich weiß, dass diese Einstellung aufgrund des mangelnden Komforts selten lange durchhält, aber sie ist für Outlook 2007, 2010, 2011, 2013 und 2016 der Standard. 

Also ist E-Fail nur ein weiteres Brett für den Sarg von E-Mail an sich. Das Problem bei Email beginnt ja schon damit, dass sie eben nicht ohne externe Strukturen auskommt und keinen Schutz gegen Manipulation auf Protokollebene bietet.  

 

 

Keine Kommentare

    Kommentarfunktion für diesen Artikel geschlossen.