#efail :: Die ganz große Welle

by Volker Weber

Sketch

Es gibt immer wieder einen Sicherheitsforscher, der das ganz große Ding entdeckt. Und dann stürzt sich jeder drauf, der Klicks gebrauchen kann. Man kann also den Nippel derart durch die Lasche ziehen, dass die im Mail User Agent verankerte Verschlüsselungssoftware den Klartext rausrückt. Mancher Experte fühlte sich berufen, eine De-Installation zu empfehlen. Damit kann niemand mehr den Klartext bekommen. Der User auch nicht. Alles weg. Dumme Sache.

Mich hat das seltsam unberührt gelassen. Ja, Email ist unsicher. Fensterscheiben sind es auch. Man kann tatsächlich bei mir reingucken. Und einen ernsthaften Penetrationstest bestehen sie auch nicht.

Ich tausche per Email einfach keine sensiblen Informationen aus. Das meiste sind Pressemitteilungen, Veranstaltungseinladungen, Benachrichtigungen über bereits veröffentliche Kommentare oder andere Dinge, die für die Veröffentlichung bestimmt sind.

Was wirklich privat oder sensibel ist, das läuft bei mir per iMessage oder Signal. Anders als Email sind die von Anfang an als sichere Architekturen entworfen. Was man bei Email irgendwie draufstricken muss, ist hier bereits eingebaut. Immer und für jeden. Wie einfach.

Comments

Tatsächlich ist efail ein fail in sich. Es ist ein übertriebener Hype um Lücken in Email-Clients, die Probleme mit HTML-E-Mails haben. Viel heiße Luft um wenig, alles arg übertrieben. PGP ist sicher, S/MIME ist sicher, E-Mail-Clients haben Bugs. nix neies.

Dirk Steins, 2018-05-15

Prinzipiell stimme ich dir zu; andererseits auch wieder nicht; denk einmal an deine Flugbuchungsbestätigungen... mit den Links da drin kann man so einiges machen. Das ist vielleicht nicht super geheim, aber es quasi via Postkarte zu verschicken ist eigentlich auch nicht die genialste Idee. Von Password-Resets will ich mal gar nicht anfangen.

Also du verschickst vielleicht keine sensiblen Informationen per e-Mail; empfangen wirst du sie aber wohl. Und ja, die können alle kein PGP oder S/MIME; von Signal will ich mal gar nicht sprechen :)

Gerhard Poul, 2018-05-16

Ja, das ist richtig. Und bestätigt das, was ich sage. E-Mail ist unsicher, auch wenn man S/MIME oder PGP einsetzt. Weil es auch ohne funktioniert.

Volker Weber, 2018-05-16

Ok, dann drehen wir das doch mal um. Signal, Threema, iMessage sind schnell aufgesetzt und funktionieren. SMIME und PGP are a pain to use und anscheinend auch unsicher.

Aber was verwendet man, wenn man die Konversationen archivieren muss, die Texte etwas länger sind als was in blaue Blasen passt, man formatieren will, grössere Mengen an Attachments austauschen soll ... und ... die Sachen vertraulich und sicher verschlüsseln will?

Peter Daum, 2018-05-16

Zum Thema Signal:

https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injection/advisory/

Selbes Spiel.

Christian Gut, 2018-05-16

Christian, veraltet.

Peter, wie erfüllt man Deine Bedingungen mit PGP?

Volker Weber, 2018-05-16

Peter,
größere Mengen an Attachments verschickt man auch nicht per Mail.
Die legt man auf einem per HTTPS erreichbaren Server ab, verschickt den Download-Link per Mail, und das zugehörige Passwort übermittelt man auf einem sicheren Alternativ-Weg, z.B. Signal.

Manfred Wiktorin, 2018-05-16

Das ist die Bastellösung. Richtig macht man das zum Beispiel mit Microsoft Teams.

Volker Weber, 2018-05-16

Ein Vorteil von S/MIME liegt ja darin, dass die beteiligten Parteien kein gemeinsames Benutzerverzeichnis benötigen und sie dennoch verschlüsselte Nachrichten austauschen können, weil man sich bzw. den verwendeten Client Zertifikaten gegenseitig vertraut. Kann man mit Microsoft Teams sichere B2B und B2C Kommunikation unter Verwendung von X.509 Client Zertifikaten machen ohne dass die Mitspieler in einem gemeinsamen Verzeichnis (z.B. Azure AD) registriert sein müssen?

Erik Schwalb, 2018-05-16

Ja, das X.509 ist schon eine dolle Sache. Dafür, dass das schon so lange existiert, haben doch nicht so viele C ein solches Zertifikat, geschweige denn eine aktuelle CRL.

Was Teams so alles B2B und B2C kann, findet man hier heraus: https://docs.microsoft.com/en-us/microsoftteams/add-guests

Da lassen sich bestimmt ein paar Edge Cases konstruieren, die man damit nicht abdecken kann.

Volker Weber, 2018-05-16

Wenn ich die Doku richtig verstehe, dann muß ich meine B2B Mitspieler (unabhängig davon, ob die sich nun mittels X.509 client certificate ausweisen oder nicht) immer vorab in "meinem" Verzeichnis registrieren. Das hat nichts mit Edge Cases zu tun sondern genau darin liegt die grundsätzliche Einschränkung im Vergleich zu Email (genau wie bei IBM Connections Cloud, IBM Watson Workspace und allen anderen Anbietern, bei denen nicht nur Freigabelinks auf protected resources generiert werden).
Bei Email genau wie beim Telefon kann halt jeder mitspielen, der einen Anschluß hat...egal bei welchem Provider. Dort müssen dann nicht die einzelnen Kunden für ihre eigenen use cases den "Über-Administrator" spielen sondern die Provider sorgen von sich aus für Interoperabilität....natürlich mit allen bekannten Vor- und Nachteilen hinsichtlich Security.

Erik Schwalb, 2018-05-16

Das ist das Schöne an den Messengern. Es gibt keinen (sichtbaren) Admin, keine X.509-Zertifikate. Man legt einfach los. Und kann natürlich auch Dateien verschicken und solche Sachen. Automatisch verschlüsselt. Das mögen alle, außer den Admins. Und die führen dann Teams ein.

Identity ist die große Kunst. Conditional Access die ganz große. Und da bläst gerade Azure AD die dicken Backen auf.

Volker Weber, 2018-05-16

Recent comments

John Keys on Demnächst in diesem Theater :: Surface Go at 23:40
Johannes Koch on Android Enterprise Security Whitepaper at 22:05
Patric Stiffel on Demnächst in diesem Theater :: Surface Go at 22:00
Andy Mell on Just a silly wishlist for the next Macbook at 19:08
Klaus Iwik on Just a silly wishlist for the next Macbook at 19:06
Jörg Michael on Just a silly wishlist for the next Macbook at 18:52
John Curtis on #dominoforever :: Observations from the event at 18:12
Volker Weber on Just a silly wishlist for the next Macbook at 17:57
Stephan Perthes on Just a silly wishlist for the next Macbook at 17:47
Volker Weber on Just a silly wishlist for the next Macbook at 17:22
Richard Albury on Just a silly wishlist for the next Macbook at 16:52
Thorsten Köbe on Just a silly wishlist for the next Macbook at 16:44
Jörg Hermann on Just a silly wishlist for the next Macbook at 15:46
Nick Daisley on Just a silly wishlist for the next Macbook at 15:21
Volker Weber on Just a silly wishlist for the next Macbook at 14:36
Adrian Thomas on Just a silly wishlist for the next Macbook at 14:35
Volker Weber on Just a silly wishlist for the next Macbook at 14:01
Markus Dierker on Just a silly wishlist for the next Macbook at 13:53
Sascha Westphal on Want at 13:36
Oliver Stör on Just a silly wishlist for the next Macbook at 13:36
Oliver Simon on Just a silly wishlist for the next Macbook at 13:12
Thorsten Köbe on Demnächst in diesem Theater :: Surface Go at 13:04
Thorsten Köbe on Just a silly wishlist for the next Macbook at 12:58
Stephan Perthes on Just a silly wishlist for the next Macbook at 12:40
Oliver Busse on Just a silly wishlist for the next Macbook at 12:28

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 01:20

visitors.gif

buy me coffee