E-Mail Verschlüsselung geknackt!
E-Mail Verschlüsselung geknackt!
Auch PGP ist betroffen:
http://www.tagesschau.de/inland/e-mail- ... g-101.html
http://www.tagesschau.de/inland/e-mail- ... g-101.html
Re: E-Mail Verschlüsselung geknackt!
Äh - Scheiße!
Wobei ich privat verschlüsselt, ohne aktive Inhalte schon mal besser dran bin als unsere Firma mit aktiven Inhalten und ohne Verschlüsselung...
Wobei ich privat verschlüsselt, ohne aktive Inhalte schon mal besser dran bin als unsere Firma mit aktiven Inhalten und ohne Verschlüsselung...
Re: E-Mail Verschlüsselung geknackt!
Was da aber wie genau gebrochen ist schreiben sie nicht. Sind nur aufreißerisch. ICh benutze Verschlüsselung, aber nicht von Microsoft oder Apple.
Re: E-Mail Verschlüsselung geknackt!
Die öffentlich-rechtlichen Sender würden gerne mehr Hintergrund auf den eigenen Seiten bieten. Dürfen sie aber nicht, da es dann als "presseähnlich" gilt und die Zeitungsverleger klagen würden/dürften/wollen. Das steht so im Rundfunkmedienstaatsvertrag. Protestiert bei euren Ministerpräsidenten, die haben das seinerzeit verbockt. Da NDR und WDR aber mit der Süddeutschen zusammenarbeiten (Rechercheverbund) gibt es natürlich was genaueres:
http://www.sueddeutsche.de/digital/exkl ... -1.3978608
http://www.sueddeutsche.de/digital/exkl ... -1.3978608
- Michael H.W. Weber
- Vereinsvorstand
- Beiträge: 22435
- Registriert: 07.01.2002 01:00
- Wohnort: Marpurk
- Kontaktdaten:
Re: E-Mail Verschlüsselung geknackt!
Hier ist der Hintergrund: https://efail.de/
Als erstes mal HTML und Bildernachladerei deaktivieren - was man im Mailclient hoffentlich seit Jahren eh abgeschaltet hat.
Michael.
Als erstes mal HTML und Bildernachladerei deaktivieren - was man im Mailclient hoffentlich seit Jahren eh abgeschaltet hat.
Michael.
Fördern, kooperieren und konstruieren statt fordern, konkurrieren und konsumieren.
http://signature.statseb.fr I: Kaputte Seite A
http://signature.statseb.fr II: Kaputte Seite B
http://signature.statseb.fr I: Kaputte Seite A
http://signature.statseb.fr II: Kaputte Seite B
Re: E-Mail Verschlüsselung geknackt!
Danke, das macht es verständlich.
Letztlich wird der Automatismus im email Client benutzt den verschlüsselten Ciphertext zu dekodieren und html auszuführen. Das ist eigentlich analog zu bekannten CrossSideScripting Angriffen nur über email statt http.Der Fehler liegt nicht im Algorithmus, sondern in der Art, wie E-Mail-Programme die Nachrichten verarbeiten.
Re: E-Mail Verschlüsselung geknackt!
Die meisten e-Mail-Programme für 08/15-Anwender erstellen leider Klickibunti-Mails, nicht Nur-Text, so wie es im Sinne des Erfinders und der Sicherheit wäre. Die meisten 08/15-Anwender wiederum finden das toll.
Wenn ich mich irgendwo beschwere, daß ich bei Nur-Text-Einstellung in meinem Mailprogramm nichts zu sehen bekomme, bekomme ich meistens zu hören, daß es anders viel einfacher ist, und daß ich mit der Zeit gehen sollte.
Danke, Idioten!
Wenn ich mich irgendwo beschwere, daß ich bei Nur-Text-Einstellung in meinem Mailprogramm nichts zu sehen bekomme, bekomme ich meistens zu hören, daß es anders viel einfacher ist, und daß ich mit der Zeit gehen sollte.
Danke, Idioten!
Re: E-Mail Verschlüsselung geknackt!
Das Problem ist, dass die Mails auch entschlüsselt werden können, wenn nur einer der Empfänger HTML zulässt. Man muss darauf vertrauen, dass alle Beteiligten an der Kommunikation diesen Mist abgeschaltet haben. Dass man anderen vertrauen muss, widerspricht der PGP-Philosophie.
- Michael H.W. Weber
- Vereinsvorstand
- Beiträge: 22435
- Registriert: 07.01.2002 01:00
- Wohnort: Marpurk
- Kontaktdaten:
Re: E-Mail Verschlüsselung geknackt!
Nochmal zwei gehaltvollere Infoseiten zum Thema:
https://www.heise.de/security/artikel/P ... 48873.html
https://threadreaderapp.com/thread/9960 ... 13632.html
Ich halte es übrigens für groben Unfug, dass sich selbst die EFF dazu hinreissen lässt, die Deinstallation von PGP zu empfehlen. Das Problem sind die Mailclients, nicht das Verfahren an sich.
Diverse "Dumpfbacken-Publikateure" haben da nun wohl einen erheblichen Schaden angerichtet - natürlich auf der Basis von Halbwissen.
Michael.
https://www.heise.de/security/artikel/P ... 48873.html
https://threadreaderapp.com/thread/9960 ... 13632.html
Ich halte es übrigens für groben Unfug, dass sich selbst die EFF dazu hinreissen lässt, die Deinstallation von PGP zu empfehlen. Das Problem sind die Mailclients, nicht das Verfahren an sich.
Diverse "Dumpfbacken-Publikateure" haben da nun wohl einen erheblichen Schaden angerichtet - natürlich auf der Basis von Halbwissen.
Michael.
Fördern, kooperieren und konstruieren statt fordern, konkurrieren und konsumieren.
http://signature.statseb.fr I: Kaputte Seite A
http://signature.statseb.fr II: Kaputte Seite B
http://signature.statseb.fr I: Kaputte Seite A
http://signature.statseb.fr II: Kaputte Seite B
Re: E-Mail Verschlüsselung geknackt!
Haustüren sind unsicher, sie können geknackt werden. Ich empfehle sie rauszunehmen.Michael H.W. Weber hat geschrieben:Nochmal zwei gehaltvollere Infoseiten zum Thema:
https://www.heise.de/security/artikel/P ... 48873.html
https://threadreaderapp.com/thread/9960 ... 13632.html
Ich halte es übrigens für groben Unfug, dass sich selbst die EFF dazu hinreissen lässt, die Deinstallation von PGP zu empfehlen. Das Problem sind die Mailclients, nicht das Verfahren an sich.
Diverse "Dumpfbacken-Publikateure" haben da nun wohl einen erheblichen Schaden angerichtet - natürlich auf der Basis von Halbwissen.
Michael.
- Lasse Kolb
- Vereinsvorstand
- Beiträge: 1355
- Registriert: 03.12.2002 21:06
- Wohnort: Braunschweig/Hondelage
- Kontaktdaten:
Re: E-Mail Verschlüsselung geknackt!
Die Verschlüsselung an sich ist NICHT geknackt! Das Problem ist eher, wie der Client damit umgeht.
Bei Deutschland Nova wurde das ganz gut erklärt.
Es gibt wohl 2 Möglichkeiten - eine einfache, und eine, der ziemlich schwer auszunutzen ist.
Bei der einfachen Methode wird der Client quasi dazu gebracht, die Mail zu entschlüsseln, den entschlüsselten Text dann in Form einer URL zum Angreifer-Server zu senden, weil er von dort ein Bild oder so nachladen will - ziemlich schräge Methode. Aber funktioniert wohl :-/
Bei Deutschland Nova wurde das ganz gut erklärt.
Es gibt wohl 2 Möglichkeiten - eine einfache, und eine, der ziemlich schwer auszunutzen ist.
Bei der einfachen Methode wird der Client quasi dazu gebracht, die Mail zu entschlüsseln, den entschlüsselten Text dann in Form einer URL zum Angreifer-Server zu senden, weil er von dort ein Bild oder so nachladen will - ziemlich schräge Methode. Aber funktioniert wohl :-/
Blog: https://lassejulius.wordpress.com
Threema ID: THNUM86Z · Twitter/Skype: lassejulius
Threema ID: THNUM86Z · Twitter/Skype: lassejulius