OpenPGP und die Sicherheit von Geräten und Programmen

Publiziert: 18 May 2018 - Kategorie: info

UPDATE: Wir fanden den Artikel der ACLU (in deutsch), einen sehr guten Kommentar zu der Problematik.

Viele alarmierende Meldungen bezüglich verschlüsselten Emails geisterten die vergangenen Tagen durch die Medien. Es war die Rede, auf die Verschlüsselung von Emails zu verzichten und entsprechende Tools gar zu deinstallieren. Doch wer ein bisschen hinter die clickbait getriebenen, auf maximal Aufmerksam getrimmten Meldungen schaute, hatte schon bald ein anderes Bild. Die Verschlüsselung von PGP Emails wurde keineswegs geknackt (bei s/mime, das vorallem im Firmen Umfeld eingesetzt wird, sieht es etwas schlechter aus). Viel mehr handelt es sich um ein Problem bei der Darstellung im Mailprogram, die es erlaubt den Inhalt von verschlüsselten Emails beim Lesen auch anderen sichtbar zu machen. Dazu muss aber das Mail unterwegs manipuliert werden.

Deshalb: Verschlüsselt weiterhin eure Emails, haltet wie immer eure Tools und Systeme auf einem aktuellen Stand, falls ihr ein Mailprogramm verwendet blockiert “externe Inhalte” oder HTML-Darstellung, und nein, nun deswegen auf zentralisierte Systeme zu wechseln ist keine ernsthafte Alternative.

Hintergrund

Eine Gruppe von Wissenschaftler*innen hat mit Hilfe eines ausgeklügelten Zusammenspiels von verschiedenen Tools und Standards, viele Emailprogramme dazu gebracht, dass sie beim Betrachten von verschlüsselten Emails den Klartext auch an externe Parteien weiterleiten können. Dieses Zusammenspiel haben sie unter dem Titel efail publiziert. Dies ist Fatal und es ist absolut richtig und gut, dass diese Möglichkeit publik wurde, so dass sie schnellst möglichst geflickt werden kann. Hierfür bedarf es Lösungen an verschiedenen Orten, in den verschiedenen Tools.

Die Entdeckung, wie auch die Veröffentlichung der Schwachstelle wurde leider auch umgehend dazu genutzt ganz verschiedene eigene Interessen zu verfolgen. Seien es die Wissenschaftler*innen selbst, welche im Rahmen der aktuell üblichen, aber eigentlich sehr unrühmlichen Art, der Schwachstelle einen eigenen Namen, Logo, Webseite und so weiter gaben. Der Druck auf Forscher*innen sich selbst möglichst bestens und mit grösstmöglichster Aufmerksamkeit zu vermarkten um auch weiterhin an Forschungsgelder zu kommen und ihren Stand in der hart umkämpften Forschungswelt zu etablieren, könnte kein besseres Beispiel haben.

Unter ähnlichem Druck stehen auch Journalist*innen, die möglichst eine dolle Geschichte nach der anderen rauszuhauen haben und ensprechend hatte es die Meldung in zweifelhafter Qualität bis in Zeitungen, wie “Der Bund” geschafft. Aufbereitet, um möglichst viel Aufmerksamkeit und damit Klicks zu generieren, aber mittlerweile weit vom Thema entfernt.

Zu nennen, ist aber auch die EFF (Electronic Frontier Foundation) und Personen aus ihrem Umfeld, welche sich in einem absoluten Tiefgang dazu hinreissen liessen eine Empfehlung rauszugeben und dabei (leider) allen Ernstes den Menschen nahelegte auf die Verschlüsselung von Emails ganz zu verzichten und entsprechende Tools zu deinstallieren. Echt jetzt ernsthaft? Die von ihnen vorgeschlagene Alternative Signal, ist einerseits ein Instantmessenger und damit weit davon entfernt eine ernsthafte Alternative für Emails zu sein. Kommt noch dazu, dass es sich bei Signal im Gegensatz zu Emails nicht um eine föderierte, sondern zentralisierte Infrastruktur (es gibt nur 1 Betreiber von Signal) handelt. Und wäre der Vergleich nicht schon schlecht genug, dann haben sie vermutlich auch einfach ignoriert (oder gar verschwiegen?), dass der Desktop-Client von Signal in den letzten zwei Wochen selber von 2 schwerwiegenden Sichertslücken betroffen war, die nicht nur eine ähnliche Attacke wie Efail erlaubten, sondern es auch gleich noch ermöglichten beliebige Programme auf dem Rechner der Nutzer*in auszuführen. Wir nutzen Signal gerne und empfehlen es auch als die sinnvollere Alternative zu Messengern, wie Telgegram oder WhatsApp. Auch wenn wir weiterhin der Meinung sind, dass eine gute Lösung unter anderem föderiert sein muss und damit Jabber definitiv zu bevorzugen ist.

Aber auch in der Entwicklungscommunity der verschiedenen Tools selbst gab es sehr viel finger-pointing und es wurde eine abwehrende Verteidigungshaltung eingenommen. Dies war sicher auch ein Resultat der vorher besprochenen Akteure und ihrer Effekthascherei. Beispielsweise sei hier zu nennen, dass einige der Tools viel zu komplexe Programmierschnittstellen haben, so dass selbst Programmierer*innen von E-Mailclients sehr einfach Fehler unterlaufen können. Aber auch, dass letztere nicht auf eine entsprechende Abbildung der Komplexität des Themas achten und damit solche Attacken erst ermöglichen.

OpenPGP und efail bei immerda

Wir empfehlen seit Jahren die Nutzung von OpenPGP für die Verschlüsselung von E-Mails und stellen auch verschiedene Tools, Anleitungen usw. zur Verfügung.

  • Unsere Software, schleuder, welche verschlüsselte Emaillisten ermöglicht, war von der Schwachstelle nicht betroffen, und schützte die Nutzer*innen einer Liste aufgrund ihrer funktionsweise vor efail.
  • Unser Webmail Horde ist im efail Artikel erwähnt, wobei die Details zur Angreiffbarkeit eher schwammig bleiben. In der normalen Nachrichtenansicht waren wir nicht betroffen, da wir alle Mails (aus Sicherheitsüberlegungen) im Text Format anzeigen. Beim klick auf “HTML-Daten in einem neuen Fenster anzeigen”, gehen wir davon aus, dass wir von der Lücke betroffen waren. Wir haben sofort nach bekanntwerden das Hauptproblem, nämlich dass manipulierte Nachrichten trotzdem angezeigt werden, geflickt. Zudem haben wir mit dem Horde Projekt zusammengearbeitet, um die Lücke dauerhaft zu schliessen.

Im allgemeinen bergen HTML-formatierte Emails, auch ohne efail, immer auch ein gewisses Risiko und wir empfehlen daher ganz darauf zu verzichten. Ausserdem möchten wir auch mal wieder auf folgendes hinweisen: Wir bieten zwar Verschlüsselte Mails im Webmail an, da wir finden, dass es die Einstiegshürde verringert, mehr Leute mit GPG bekannt macht und zu einer breiteren Nutzung von verschlüsselten Mails führt. Aber grundsätzlich ist es besser, die Verschlüsselung geschieht lokal auf eurem Rechner in eine Mailprogramm, wie Thunderbird/Enigmail oder K-9. Damit beispielsweise nur ihr selbst Zugriff auf den privaten Schlüssel habt. Hierbei empfehlen wir immer, sämtliche Software auf einem aktuellen Stand zu halten. Ob es sich dabei nun um GPG, Thunderbird & Enigmail oder um euer System handelt. Die Sicherheit ist immer nur so stark wie das schwächste Glied in der Kette. Neben dem wählen von starken Passwörtern, resp. der Verwendung von Passwortmanagern, ist auch ein aktuelles System wichtig.

Deshalb nochmals: Verschlüsselt weiterhin eure Emails, haltet wie immer eure Tools und Systeme auf einem aktuellen Stand und nein, nun deswegen auf zentralisierte Systeme zu wechseln ist keine ernsthafte Alternative.

Sollten Fragen, Unsicherheiten oder Anmerkungen bestehen, so dürft ihr euch jederzeit bei uns melden. Es hat uns sehr gefreut, dass sich verschiedene Menschen bei uns gemeldet haben, um die Meldungen, die durch die Medien portiert wurden besser zu verstehen.

“Der Efail-Fail ist ein direktes Ergebnis dessen, was Medientheoretiker als “Aufmerksamkeitsökonomie” bezeichnen – Aufmerksamkeit ist heutzutage Kapital.”¹. Kapitalismus ist und bleibt scheisse.