Efail: FH Münster entzaubert PGP und S-MIME

Die Fachhochschule Münster hat sich die Standards und die konkreten Umsetzungen der Email-Verschlüsselung mit PGP und S/MIME genauer angeschaut und ist zu einem vernichtenden Urteil gekommen: S/MIME und OpenPGP können die Sicherheit von verschlüsselt versandten Nachrichten nicht ausreichend sicherstellen. Angreifer, welche die verschlüsselt verschickten Emails abfangen und manipulieren können, können sich auch Zugang zu Teilen des Klartexts der Nachricht verschaffen, warnen die Experten rund um Sebastian Schinzel von der FH Münster. Von dem "Efail" genannten Problem sind praktisch alle Programme betroffen, die Email-Verschlüsselung umsetzen – von Microsofts Outlook und Windows Mail bis hin zu Mozillas Thunderbird und Apple Mail. Besonders gefährlich ist das bei dem vor allem im Firmenumfeld eingesetzten S/MIME, wobei die Münsteraner Forscher letztlich diesen Standard als „unrettbar kaputt“ erklären. Aber auch das aus der Graswurzelbewegung kommende PGP weist gravierende Probleme auf, die sich für ganz konkrete Angriffen ausnutzen lassen. Hier besteht jedoch die Hoffnung, dass die Probleme durch Updates der Hersteller von OpenPGP-Erweiterungen wie beispielsweise Enigmail mittelfristig entschärft werden können. Nur vorbeugende Maßnahmen helfen ein wenig Um sich gegen Efail zu schützen, kann man in der aktuellen Situation im Grunde nur auf den Versand sehr brisanter Informationen per Email verzichten. Aber vorbeugende Maßnahmen wie z.B. das Deaktivieren der Anzeige von HTML und des [...]

2018-05-15T17:06:05+02:00Mai 15th, 2018|Allgemein, Coding, Webwerkzeuge|Kommentare deaktiviert für Efail: FH Münster entzaubert PGP und S-MIME
Weiterlesen

Verschlüsselungslösung Enigmail 2.0 Beta 1 online

Der quelloffene freie E-Mail-Client Thunderbird aus dem Hause Mozilla bringt selbst keine eigenen Kryptografiefunktionen mit. Daher hat sich als Erweiterung zum Verschlüsseln und Signieren von Emails die ebenfalls quelloffene Erweiterung  Enigmail beim Donnervogel duchgesetzt, die zu diesem Zweck OpenPGP benutzt. Von Enigmail  ist soeben eine erste Beta der neuen Version 2.0 zum Download bereitgestellt worden. Schlüssel werden auf drei Wegen verteilt Als deutlichste Neuerungen des ersten größeren Updates von Enigmail seit zwei Jahren nennt der Entwicklungschef von Enigmail, Patrick Brunschwig, die Unterstützung mehrerer Standard-Methoden zur automatischen Verteilung der zum Entschlüsseln nötigen PGP-Schlüssel. In Enigmail 2.0 soll die Verteilung der Schlüssel über Autocrypt, Web Key Directory (WKD) und auch über Pretty Easy Privacy (p≡p) möglich sein. Leider fehlt die p≡p-Unterstützung in dieser ersten Beta noch. Darüber hinaus soll Enigmail 2.0 auch noch das "Memory Hole"-Protokoll zur Verschlüsselung der Betreffzeile und anderer Headerfelder beherrschen. Beta 1 kann ab sofort downgeloadet werden Enigmail 2.0 Beta 1 steht schon sowohl als Thunderbird-Addon als auch im Quellcode zum Download bereit. Die endgültige Version soll laut Brunschwig in der ersten Märzhälfte fertiggestellt sein. Vor der Veröffentlichung der Finalversion soll es auch noch zumindest eine weitere Beta geben, in der man dann auch Implementierung von p≡p testen kann.

2018-02-13T09:01:06+02:00Februar 13th, 2018|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Verschlüsselungslösung Enigmail 2.0 Beta 1 online
Weiterlesen

Zero-Day-Lücke in Firefox geschlossen

Mozilla hat soeben seinen Browser Firefox auf die Version 50.0.2 aktualisiert. Das ist inzwischen schon das zweite Update außer der Reihe für den Feuerfuchs innerhalb einer Woche. Mit diesem Patch schließen die Entwickler eine vorgestern bekannt gewordene kritische Zero-Day-Lücke, die insbesondere die Nutzer des Browsers als Tor-Browser für das Anonymisierungsnetzwerk The Onion Router (Tor) bedrohte. Nach dem Security Advisory steckte das Problem in der Browser-Komponente SVG Animation: ein Use-after-free-Bug erlaubte es, Schadcode einzuschleusen und dann auch auszuführen. Davon betroffen sind Firefox 50.0.1 und ältere Versionen, das Extended Support Release 45.5.0 und der Email-Client Thunderbird in Version 45.5.0 und älter. Das Firefox-Update kann man seit gestern manuell für Windows, Mac OS X und Linux von Mozillas Internetseite herunterladen. Vorhandene Firefox-Installationen sollten sich inzwischen schon automatisch aktualisiert haben.

2016-12-02T12:14:12+02:00Dezember 2nd, 2016|CSS, HTML, Javascript|Kommentare deaktiviert für Zero-Day-Lücke in Firefox geschlossen
Weiterlesen
Nach oben