Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Netzwerke
>
S/MIME kaputt, PGP angreifbar
S/MIME kaputt, PGP angreifbar
Stefan S.
14.05.18
14:01
S/MIME kaputt, PGP angreifbar, sagt laut Heise ein Forscherteam.
Deswegen gab es wohl noch keine ernsthaften Bestrebungen das abzuschaffen...? (mM)
Edit:
Heise empfiehlt Signal, wobei das wohl in der Desktop-App angreifbar ist. Laut
Hilfreich?
-4
Kommentare
rene204
14.05.18
14:04
beziehst Du Dich hierauf
https://www.mactechnews.de/news/article/Sicherheit-Apple-Mai l-gewaehrt-Angreifern-Zugang-zu-verschluesselten-E-Mails-169 536.html ?
„Gelassenheit und Gesundheit.. ist das wichtigste...“
Hilfreich?
0
Stefan S.
14.05.18
14:07
rene204
beziehst Du Dich hierauf
https://www.mactechnews.de/news/article/Sicherheit-Apple-Mai l-gewaehrt-Angreifern-Zugang-zu-verschluesselten-E-Mails-169 536.html ?
oh, sorry, noch gar nicht gelesen!
Bzw. Bei Heise sieht man, es betrifft nicht nur Mac
Hilfreich?
0
gfhfkgfhfk
14.05.18
17:05
Nein, weder S/MIME noch PGP sind kaputt. Die Verschlüsselung von keinem dieser Standards ist geknackt worden. Es wird bei diesem Angriff nur Exploits von HTML-E-Mails ausgenutzt, die generell hoch gefährlich sind. D.h. man muss grundsätzlich das Laden von Externen Inhalten abschalten. Wann immer möglich sollte man kein HTML für E-Mails verwenden. Ferner können externen Inhalte auch als Lesebestätigung benutzt werden!
Hilfreich?
+3
Peter Eckel
14.05.18
17:29
gfhfkgfhfk
Nein, weder S/MIME noch PGP sind kaputt. [...]
Wahr. Leider eilt die Regenbogenpresse, äh, sorry, der Spiegel, mit unfaßbar dämlichen Schlagzeilen wie "Experten raten vorerst von E-Mail-Verschlüsselung ab" los, und die eher wenig technikaffine Leserschaft - schätzungsweise 99% - nimmt das so zur Kenntnis und sagt sich "Gut, daß ich gar nicht erst Aufwand in Verschlüsselung gesteckt habe, bringt eh nichts".
Gegen derlei sinnentstellend aufsummierten Kernschwachsinn anzureden ist wie gegen Windmühlenflügel kämpfen. Da können wir seit 20 Jahren reden und den Leuten erklären, daß HTML in Mail grober Unfug ist und daß einem kein Zacken aus der Krone bricht, wenn man externe Inhalte aus solchen Mails wenigstens nicht sofort laden läßt ... was sie lesen ist "Experten raten vorerst von E-Mail-Verschlüsselung ab", und das ist auch viel einfacher und leichter zu praktizieren. Und ihre Mails sind weiterhin schön bunt.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
+4
sierkb
14.05.18
19:29
ProtonMail via Twitter
Efail is a prime example of irresponsible disclosure. There is no responsibility in hyping the story to @EFF and mainstream media and getting an irresponsible recommendation published (disable PGP), ignoring the fact that many (Enigmail, etc) are already patched.
Q:
Stefan Esser via Twitter
HTML emails have always been a pita, allow for colorful spam,... should have been discontinued as a failed idea for years
Q:
Stefan Esser via Twitter
in any case if the leaked information about #efail is accurate the panic and recommendations to uninstall seems going into the FUD direction.
Q:
Stefan Esser via Twitter
It is understandable when you claim PGP is insecure and didn’t even contact @gnupg they will be rightfully pissed when the real story is mailers using PGP are broken and not actually PGP/GPG
Q:
Hilfreich?
0
Igor Detlev
14.05.18
20:53
sierkb
Laut der Autoren des entsprechenden Papers
ist die Situation komplizierter. Mail.app für iOS und Mac sowie Thunderbird lassen sich besonders einfach angreifen, aber auch viele andere Clients sind offenbar verwundbar.
Is my email client affected?
Our analysis shows that EFAIL plaintext exfiltration channels exist for 25 of the 35 tested S/MIME email clients and 10 of the 28 tested OpenPGP email clients. While it is necessary to change the OpenPGP and S/MIME standards to reliably fix these vulnerabilities, Apple Mail, iOS Mail and Mozilla Thunderbird had even more severe implementation flaws allowing direct exfiltration of the plaintext that is technically very easy to execute.
Außerdem gibt es ein weiteres, im Moment offenbar eher theoretisches, Angriffsszenario, das laut Text tatsächlich Lücken in der S/MIME und OpenPGP ausnützt. Deshalb muss das Problem dort gefixt werden.
Here are some strategies to prevent EFAIL attacks:
...
Long term: Update OpenPGP and S/MIME standards. The EFAIL attacks exploit flaws and undefined behavior in the MIME, S/MIME, and OpenPGP standards. Therefore, the standards need to be updated, which will take some time.
Hilfreich?
-1
sierkb
14.05.18
20:59
Igor Detlev:
Habe bereits
hier
was dazu verlinkt, dort wird was gesagt, erklärt und klargestellt zu dem, was Du vorbringst.
Hilfreich?
-1
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.