So sichern Sie Ihre E-Mail jetzt, nachdem PGP kompromittiert ist

Wenn Sie PGP – kurz für Pretty Good Privacy – zum Senden und Empfangen verschlüsselter E-Mails verwendet haben, ist es möglicherweise an der Zeit, zu einem anderen Dienst zu wechseln, um die Vertraulichkeit Ihrer Kommunikation zu wahren. Eine brandneue Schwachstelle, urkomisch EFAIL genannt, kann den Inhalt Ihrer E-Mails (in bestimmten Fällen sogar älterer E-Mails) im Klartext enthüllen. Auf Wiedersehen, Geheimhaltung.

Wenn Sie Ihren bevorzugten E-Mail-Dienst nur verwenden, um regelmäßig Nachrichten an Freunde zu senden, tolle Newsletter zu lesen oder Unternehmen, auf die Sie wütend sind, in die Luft zu jagen, betreffen Sie diese Probleme überhaupt nicht. Sie werden wissen, ob Sie PGP verwenden, denn die gesamte Prämisse des Programms basiert auf der Verwendung öffentlicher und privater Schlüssel – riesige Textketten – zum Ver- und Entschlüsseln von Nachrichten. Geheime Nachrichten, idealerweise nicht nur lustige Katzenbilder, die Sie an Ihren Lebensgefährten senden möchten.

Es gibt derzeit einige Debatten darüber, wie problematisch die EFAIL-Schwachstelle tatsächlich ist, da einige Unternehmen und sicherheitsbewusste Leute feststellen, dass es Ihnen gut geht, wenn Sie nur sicherstellen, dass Sie keine HTML-E-Mails erhalten, sondern stattdessen auf Klartext wechseln. Wie Werner Koch von der GnuPG schreibt:

„Es gibt zwei Möglichkeiten, diesen Angriff abzuschwächen
- Verwenden Sie keine HTML-Mails. Oder wenn Sie sie wirklich lesen müssen, verwenden Sie einen geeigneten MIME-Parser und verweigern Sie den Zugriff auf externe Links.
- Verwenden Sie eine authentifizierte Verschlüsselung.“



Ob das Problem bei PGP und S/MIME liegt, wie die Electronic Frontier Foundation feststellt, oder bei den E-Mail-Clients selbst, Ihr Komfort mit verschlüsselter Kommunikation wird Ihre nächsten Schritte bestimmen. Wie efail.de anmerkt, gibt es einige Techniken, die Sie anwenden können, um die Auswirkungen von EFAIL auf Ihre sichere Kommunikation zu mildern:

League of Legends Xin Zhao Überarbeitung

„Kurzfristig: Keine Entschlüsselung im E-Mail-Client. Der beste Weg, um EFAIL-Angriffe zu verhindern, besteht darin, S/MIME- oder PGP-E-Mails nur in einer separaten Anwendung außerhalb Ihres E-Mail-Clients zu entschlüsseln. Beginnen Sie damit, Ihre privaten S/MIME- und PGP-Schlüssel aus Ihrem E-Mail-Client zu entfernen, und entschlüsseln Sie dann eingehende verschlüsselte E-Mails, indem Sie den Chiffretext kopieren und in eine separate Anwendung einfügen, die die Entschlüsselung für Sie übernimmt. Auf diese Weise können die E-Mail-Clients keine Exfiltrationskanäle öffnen. Dies ist derzeit die sicherste Option mit dem Nachteil, dass der Prozess komplexer wird.

Kurzfristig: Deaktivieren Sie das HTML-Rendering. Die EFAIL-Angriffe missbrauchen aktive Inhalte, meist in Form von HTML-Bildern, -Stilen usw. Wenn Sie die Darstellung eingehender HTML-E-Mails in Ihrem E-Mail-Client deaktivieren, wird die bekannteste Angriffsmethode für EFAIL beendet. Beachten Sie, dass es andere mögliche Backchannels in E-Mail-Clients gibt, die nichts mit HTML zu tun haben, aber diese sind schwieriger auszunutzen.

bb cream mit sonnencreme

Mittelfristig: Patchen. Einige Anbieter veröffentlichen Patches, die entweder die EFAIL-Schwachstellen beheben oder deren Ausnutzung erschweren.

Langfristig: OpenPGP- und S/MIME-Standards aktualisieren. Die EFAIL-Angriffe nutzen Fehler und undefiniertes Verhalten in den Standards MIME, S/MIME und OpenPGP aus. Daher müssen die Standards aktualisiert werden, was einige Zeit in Anspruch nehmen wird.“



Unser Rat? Vielleicht ist es an der Zeit, E-Mails nicht mehr für verschlüsselte Kommunikation zu verwenden. Der EFF schlägt dies zumindest als Übergangslösung vor:

„Unser Rat, der den der Forscher widerspiegelt, ist, Tools, die PGP-verschlüsselte E-Mails automatisch entschlüsseln, sofort zu deaktivieren und/oder zu deinstallieren. Bis die in dem Papier beschriebenen Mängel besser verstanden und behoben sind, sollten Benutzer für die Verwendung alternativer End-to-End-sicherer Kanäle wie Signal sorgen und das Senden und insbesondere das Lesen von PGP-verschlüsselten E-Mails vorübergehend einstellen.“



Wie Wired in einem Artikel aus dem Jahr 2017 beschrieben hat, eignen sich Apps mit Ende-zu-Ende-Verschlüsselung wie Signal, WhatsApp, Confide oder sogar Skype – um nur einige zu nennen – hervorragend zum Senden geschützter Kommunikation (vorerst).

Das soll zwar nicht heißen, dass eine dieser Apps oder sogar das Signalprotokoll, das sie zum Sichern Ihrer Nachrichten verwenden, gegen zukünftige Exploits (aller Art) immun ist, aber Messaging-Apps mit integrierter Ende-zu-Ende-Verschlüsselung könnten eine Überlegung wert sein als Alternative zur E-Mail für Ihre privatesten Nachrichten. Sie sind nicht narrensicher – besonders wenn jemand ein kompromittiertes Gerät am anderen Ende hat –, aber sie sind besser als nichts, wenn Sie die Unterschiede ertragen können: