PGP-Entwickler zu EFAIL

Quelle: StockSnap Lizenz: CC0 1.0

Die Berichterstattung um die Lücken in E-Mail-Clients, die Angreifer nutzen können, um verschlüsselte E-Mails zu entschlüsseln und zu entwenden, rief viel Kritik bei Entwicklern und Sicherheitsexperten hervor. So hatte sich Werner Koch, der Erfinder von GNU Privacy Guard (GnuPG) auf der GnuPG-Mailingliste dahingehend geäußert, in Sachen OpenPGP sei die Panikmache vor allem der EFF übertrieben. Jetzt haben sich auch die PGP-Entwickler in einer gemeinsamen Erklärung zur Ehrenrettung ihrer Software entschieden. Es äußern sich Andy Yen, der Gründer von ProtonMail, Phillip Zimmermann als Erfinder von Pretty Good Privacy (PGP), Patrick Brunschwig als Entwickler von Enigmail sowie der Mailvelope-Gründer Thomas Oberndörfer.

Unnötig aufgebauscht

Die Kritik richtet sich auch hier gegen die Berichterstattung der Electronic Frontier Foundation (EFF), die ein Papier der Entdecker der Lücken aufgegriffen hatte und damit ein weltweites Medienecho bis hin zur Tagesschau ausgelöst hatten. Die PGP-Entwickler richten sich gegen einige Aussagen in der Presseberichterstattung und stellen klar:

»Diese Aussagen sind höchst irreführend und potenziell gefährlich. PGP ist nicht defekt. Die von EFail identifizierten Schwachstellen sind keine Fehler des OpenPGP-Protokolls selbst, sondern Fehler in bestimmten Implementierungen von PGP, darunter in Apple Mail, Mozilla Thunderbird und Microsoft Outlook. Viele andere häufig verwendete Software, die auf PGP basiert, sind von der EFail-Schwachstelle in keiner Weise betroffen, wie die Forscher selbst in ihrem Beitrag betonen. Als offener Standard kann jeder PGP implementiere und es überrascht nicht, dass einige Implementierungen Sicherheitslücken aufweisen. Dies bedeutet jedoch nicht, dass PGP selbst defekt ist.«PGP-Entwickler

Empfehlung für Anwender

Die Empfehlung der Verfasser der Stellungnahme geht dahin, stets aktuelle Versionen der jeweiligen Software zu verwenden. So wurde beispielsweise der E-Mail-Client Thunderbird bereits aktualisiert und größtenteils gegen die Lücken immunisiert. Die Entwickler bitten darum, dass jeder auch seine Kommunikationspartner informiert und zur Aktualisierung der Software animiert.

Software, die auf  PGP, GnuPG, Mailvelope und ProtonMail basiert, war nie gegen EFAIL anfällig. Enigmail und GPGtools waren verwundbar, jedoch ließ sich ein Angriff relativ leicht verhindern. Bei der Verwendung von Enigmail muss Version 2.05 verwendet werden und nur einfaches HTML ohne Nachladen externer Inhalte oder noch besser, reine Textansicht in Thunderbird. Bei GPGTools muss ebenfalls das Nachladen externer Inhalte deaktiviert werden.

Empfehlung der EFF zu rigide

Die EFF empfahl Benutzern, PGP-Plugins zu deaktivieren oder die Verwendung von PGP ganz einzustellen. Das sei so ähnlich wie zu sagen: »Einige Schlösser könnten aufgebrochen werden, deshalb müssen wir alle Türen entfernen.« Das sei besonders gefährlich, da es Personen gefährden kann, die sich aus Sicherheitsgründen auf PGP-Verschlüsselung verlassen, so die Entwickler. Somit ist nach EFAIL die Benutzung von E-Mail genauso (un)-sicher wie eh und je.

 

 

Verwandte Themen

Thunderbird 52.8.0 dämmt EFAIL ein
views 566
Bild: Efail | Lizenz: Lizenz: CC0 1.0   Am 18. Mai stellte Mozilla eine neue Version des E-Mail-Clients Thunderbird bereit. Thunderbird 52...
EFAIL – der Tag danach
views 377
Bild: Efail | Lizenz: CC0 1.0   Erstaunlich ruhig ist es am Tag nach der Panik verbreitenden Enthüllung mit dem Namen EFAIL. Bereits gest...
EFAIL – Brisante Lücken in OpenPGP und S/MIM...
views 165
Bild: Efail | Lizenz: CC0 1.0   Eigentlich sollten weitere Details zu den heute Morgen bekannt gewordenen Sicherheitslücken erst morgen f...
Sicherheitslücken bei PGP- und S/MIME-Tools
views 145
Bild: IMG_3129 | Quelle Andy LFollow | Lizenz: CC BY-2.0 Die Electronic Frontier Foundation  (EFF) warnt heute vorab Anwender von PGP- und S/MIME-...

Beitrag kommentieren

Alle Kommentare
  • Klaus Meier

    24.05.2018, 17:47 Uhr

    Danke, dass es auch eine sachbezogene Berichterstattung zu diesem Thema gibt. Was die Hassprediger von Heise da abziehen, dass ist nicht mehr feierlich. Es gibt kein Efail. Es gibt nur ein Heise-Fail.

  • bullgard4

    05.06.2018, 22:53 Uhr

    Ein notwendiger Zwischenbericht, der den Pulverdampf weiter lichtet. – Wenn Du wieder aus dem Urlaub zurück und dann am Schreibtisch bist, erhoffe ich mir von Dir einen weiteren Zwischenbericht über EFAIL: