Wie scheiße muss man im Kopp sein…

 

…um aufgrund von EFAIL zu raten, kein PGP/GPG mehr zur Verschlüsselung zu benutzen?

Ich bin sowas von sauer… da bemüht man sich ewig lange, um die Leute dazu zu bewegen, eMails nur verschlüsselt zu nutzen… nach und nach werden es mehr, die das dann auch tun… und dann kommt die EFF daher und gibt einen dermaßen bekloppten Rat.

Weil Mails, die mit PGP/GPG verschlüsselt sind, unter (nicht sehr wahrscheinlichen… es muss eh erstmal ein MITM-Angiff stattfinden) Umständen bei ungünstig (und nicht empfehlenswert) konfigurierten Mailclienten und dusseliger Nutzung (automatische Darstellung von HTML-Mails mit automatischem Nachladen von Inhalten) einem Angreifer ermöglichen, die verschlüsselte Mail zu lesen, wird empfohlen, nun gar nicht zu verschlüsseln. Alles klar! Weil man sich mit einem Küchenmesser in die Pfoten schneiden kann, empfehle ich, Zwiebeln nicht mehr zu würfeln, sondern als ganze Zwiebel in die Boulette zu kloppen… und weil man Briefumschläge über Dampf öffnen kann, empfehle ich, künftig nur noch Postkarten zu schicken…

Wie blöd muss man sein, um sowas zu raten… bzw. wie UNSERIÖS muss man sein?

Und dann kommen die auch noch daher und empfehlen, für verschlüsselte Kommunikation statt eMail jetzt Signal zu nutzen. Was‘das‘denn für ein Rat?
Klar… Signal verwendet eine sehr gute Verschlüsselungsmethode, die nicht so ohne weiteres zu knacken ist… aber dafür muss man Signal mit der mobilen Wanze (Smartphone) benutzen oder auf dem Desktop mit der App, die auf Electron basiert… genau… auf Electron… das ist die Software, bei der es WIRKLICH Sicherheitsprobleme gibt.

Der Tenor der Texte (sie – EFF – schreiben da ja fleißig einen Artikel, nach dem anderen) vermittelt außerdem das Gefühl, der Fehler läge in PGP/GPG, was so nicht stimmt. Das Problem liegt vielmehr bei den Mailclient-Programmen, die HTML-Mails (und auch Textmails, was aber recht unproblematisch ist, das dies den Angriff nicht ermöglicht) selbst dann rendern, wenn eine Mail kompromittiert (also verändert) worden ist, was bei signierten Mails auffällt. Wer dann Mails in seinem Mailprogramm als HTML darstellen lässt und auch noch erlaubt, dass fremde Inhalte automatisch nachgeladen werden… und vielleicht sogar noch Javascript im Mailprogramm erlaubt… ja, der kann Opfer eines solchen Angriffs werden. Also eigentlich wird dann der Absender das Opfer, denn dessen Mail, die er ja nicht als „Postkarte“ verschicken wollte, wird nun für einen Angreifer lesbar.

Der Fehler liegt also in den Mailprogrammen und sitzt vor allem mal wieder VOR dem Monitor.

Es ist ja gut, dass sie auf die Schwachstelle hinweisen… aber die Empfehlung deswegen gar nicht mehr zu verschlüsseln, ist hirnrissig. Stattdessen hätten sie auf die (immer schon gültigen) Grundsätze beim Mailverkehr hinweisen sollen:

  • Erlaubt Eurem Mailprogramm keine Darstellung von HTML-Mails!
  • Erlaubt Eurem Mailprogramm kein automatisches Nachladen fremder Inhalte!
  • Erlaubt Eurem Mailprogramm kein Javascript!
  • VERSCHLÜSSELT Eure Mails mit PGP/GPG!
  • SIGNIERT verschlüsselte Mails zusätzlich! (Das erlaubt dem Empfänger zu erkennen, wenn was verändert wurde.)
  • Und SCHREIBT KEINE HTML-Mails! (Damit niemand einen Grund hat, die Darstellung von HTML-Mails überhaupt zuzulassen.)

Wenn man sich an die paar (leicht einzuhaltenden) Grundsätze hält, dann ist verschlüsseltes Mailen eine sehr sichere Sache.

Und auf das Rendern von HTML-Mails kann man echt gut verzichten. Wenn einem jemand eine HTML-Mail schickt, dann ist sie entweder auch als reiner Text zu lesen (es kommt ja auf den Inhalt an und nicht auf ein tolles Layout)… falls nicht, wird ein reiner Text ebenfalls mitgeliefert… oder (oft bei Newsletter-Mails) es gibt eine Webansicht im Internet. Wenn ich eine Mail bekomme, die ich aufgrund des HTML-Format ums Verrecken nicht lesen kann… nun… leck Arsch… dann WILL der Absender wohl nicht wirklich, dass ich die Mail lesen kann… kann dann nicht so wichtig sein.

Wirklich schlimm ist, dass die Presse auf die Scheißmeldungen angesprungen ist und (teilweise ohne Ahnung und Recherche) ein „Sensationsbeitrag“ rausgehauen wurde. Und viele glauben den Mist dann auch… denn… „Was in der Zeitung steht, muss ja die Wahrheit sein!“

An alle diejenigen, die ich in der Vergangenheit mit viel Mühe von der Mailverschlüsselung überzeugen konnte: Lasst Euch nicht verunsichern! Achtet auf meine Hinweise zu einer sicheren Nutzung von PGP/GPG und nutzt die Verschlüsselung auch weiter!

Und alle anderen: Hey… probiert es doch mal aus mit der Mailverschlüsselung! Das ist heute echt keine „schwarze Magie“ mehr und sehr einfach zu installieren und zu nutzen.

Außerdem möchte ich noch auf einen ganz tollen Artikel von Elias Schwerdtfeger zu dem Thema hinweisen: Ist die EFF auf die dunkle seite der macht gewexelt?

Und an die EFF: Echt mal… Ihr könnt mich mal da, wo die Sonne nie hinscheint! Vielen Dank für den Bärendienst!

Diskutiere auf Hubzilla

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.