Grosses Problem bei verschlüsselter e-mail

[rudolf]

Die aktuelle Berichterstattung bezieht sich erstmal auf Thunderbird und Apple Mail, aber auch unter Android kann man per PGP oder S/Mime verschlüsselte mails nutzen. Nun ist wohl eine Methode gefunden worden, die es nicht nur erlaubt aktuelle mails, sondern auch alte mails zu entschlüsseln. Mir ist noch nicht klar ob z.B. K9 betroffen ist, ich gehe aber davon aus. Der derzeitige Rat ist die Verschlüsselung von e-mails nicht mehr zu nutzen sondern auf Messenger wie Signal auszuweichen.

PGP/SMIME: Angreifer können sich entschlüsselte E-Mails schicken lassen - Golem.de
EFAIL
Attention PGP Users: New Vulnerabilities Require You To Take Action Now

 

[nik]

Wenn man pgp nutzt, reicht es aus, die html-Ansicht zu deaktivieren, was man unabhängig von dieser Lücke eh machen sollte.

 

[rudolf]

Dann gäbe es wohl nicht die Empfehlung es ganz abzuschalten. Ich hab die Artikel sicher nicht vollständig verstanden, aber schon soweit dass html abschalten nicht ausreicht.

Ich zitiere mal efail.de:
"Disabling the presentation of incoming HTML emails in your email client will close the most prominent way of attacking EFAIL. Note that there are other possible backchannels in email clients which are not related to HTML but these are more difficult to exploit."

 

[nik]

@rudolf Steht sogar in deinem verlinkten Artikel von golem:

Zumindest einige der Szenarien lassen sich verhindern, wenn man die Anzeige von HTML-Mails deaktiviert. Doch im Paper sind auch andere Rückkanäle beschrieben, etwa über OCSP-Responder von Zertifikaten. Das betrifft aber nur S/MIME. Zumindest OpenPGP sollte also relativ sicher sein, wenn keine HTML-Mails angezeigt werden.

 

[rudolf]

Laut aktueller Berichterstattung ist K9 nicht betroffen.
Efail: Was Sie jetzt beachten müssen, um sicher E-Mails zu lesen | heise online