HTML und eMail passt einfach nicht

Nachdem der „Efail-Skandal“ um PGP/GPG nicht wirklich gefruchtet hat und die (nicht in PGP/GPG, sondern in den Mailklienten) vorhandenen Probleme teilweise behoben wurden, macht jetzt ganz frisch eine neue „Horrormeldung“ die Runde.

Es wird der Eindruck vermittelt, Signaturen könnten gefälscht werden. Golem titelt z. B. OpenPGP/GnuPG: Signaturen fälschen mit HTML und Bildern

Wer das liest, zuckt erstmal zusammen und befürchtet die nächste Sicherheitskatastrophe. Dabei ist die Überschrift nur irreführend. PGP/GPG-Signaturen sind nicht zu fälschen. Es ist lediglich möglich, in bestimmten Mailklienten eine gültige Signatur vorzutäuschen… WENN denn HTML-Mails als HTML-Mails angezeigt werden (was nicht erst seit „efail“ eine absolut dämliche Idee ist und was sicherheitsbewusste Nutzer auch besser unterlassen).

So zeigt Enigmail bei Thunderbird, wenn eine Mail mit gültiger Signatur eingeht, ganz oben in der Mail einen farbigen Balken mit dem Text „Enigmail Korrekte Signatur von <Absender>“. Und sowas lässt sich natürlich mittels HTML nachbilden und den Empfänger täuschen… WENN er sich denn die Mail als HTML anzeigen lässt und der täuschende Absender weiß, wie die Absendeadresse beim Empfänger hinterlegt ist… UND wenn der Empfänger nicht auf das Symbol über der Mail achtet. Das Symbol lässt sich nämlich NICHT manipulieren und ist die MAẞGEBLICHE Anzeige dafür, ob eine Mail korrekt signiert ist. Spätestens an dieser Stelle fällt dann auf, wenn die Signatur doch nicht korrekt ist.

Wer sich auf irgendwas, das im Mailtext steht, verlässt, dem ist eh nicht zu helfen… vor allem dann nicht, wenn er sich eMails als HTML anzeigen lässt.

Farbige Balken und Ränder sind kein Indiz für eine korrekte Signatur. Wer auf sowas hereinfällt, der würde wahrscheinlich auch glauben, dass es ein sicheres Zeichen für eine korrekte Signatur ist, wenn der Absender reinschreibt: „Diese Mail ist voll echt und unverfälscht. Dafür stehe ich mit meinem guten Namen.“

Also: PGP/GPG-Signaturen lassen sich nicht fälschen, sondern nur oberflächlich vortäuschen, was lediglich bei Empfängern fruchten könnte, die eher fahrlässig mit ihrem Mailverkehr umgehen. Und Titel, wie z. B. „OpenPGP Signaturen lassen sich fälschen“ sind wohl eher als Clickbait von allwissenden Müllhalden™ (die gibt es nicht nur in der E-Dampf-Welt, sondern auch im Computerbereich 😉 ) einzuordnen, vor allem dann, wenn auch noch die schwachsinnige Empfehlung gegeben wird, statt eMail lieber Signal zu verwenden, weil eMail ja sowas von „gestern“ ist und eh nix taugt… vor allem, wenn dann noch Open-Source-Software mit ins Spiel kommt.

Lasst Euch nicht für dumm verkaufen und nutzt weiter eMail mit PGP/GPG! Das ist recht sicher und absolut auf dem Stand der Technik. UND SCHALTET DIE HTML-DARSTELLUNG IM MAILPROGRAMM AB!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.