#efail :: Die ganz große Welle

by Volker Weber

Sketch

Es gibt immer wieder einen Sicherheitsforscher, der das ganz große Ding entdeckt. Und dann stürzt sich jeder drauf, der Klicks gebrauchen kann. Man kann also den Nippel derart durch die Lasche ziehen, dass die im Mail User Agent verankerte Verschlüsselungssoftware den Klartext rausrückt. Mancher Experte fühlte sich berufen, eine De-Installation zu empfehlen. Damit kann niemand mehr den Klartext bekommen. Der User auch nicht. Alles weg. Dumme Sache.

Mich hat das seltsam unberührt gelassen. Ja, Email ist unsicher. Fensterscheiben sind es auch. Man kann tatsächlich bei mir reingucken. Und einen ernsthaften Penetrationstest bestehen sie auch nicht.

Ich tausche per Email einfach keine sensiblen Informationen aus. Das meiste sind Pressemitteilungen, Veranstaltungseinladungen, Benachrichtigungen über bereits veröffentliche Kommentare oder andere Dinge, die für die Veröffentlichung bestimmt sind.

Was wirklich privat oder sensibel ist, das läuft bei mir per iMessage oder Signal. Anders als Email sind die von Anfang an als sichere Architekturen entworfen. Was man bei Email irgendwie draufstricken muss, ist hier bereits eingebaut. Immer und für jeden. Wie einfach.

Comments

Tatsächlich ist efail ein fail in sich. Es ist ein übertriebener Hype um Lücken in Email-Clients, die Probleme mit HTML-E-Mails haben. Viel heiße Luft um wenig, alles arg übertrieben. PGP ist sicher, S/MIME ist sicher, E-Mail-Clients haben Bugs. nix neies.

Dirk Steins, 2018-05-15 22:50

Prinzipiell stimme ich dir zu; andererseits auch wieder nicht; denk einmal an deine Flugbuchungsbestätigungen... mit den Links da drin kann man so einiges machen. Das ist vielleicht nicht super geheim, aber es quasi via Postkarte zu verschicken ist eigentlich auch nicht die genialste Idee. Von Password-Resets will ich mal gar nicht anfangen.

Also du verschickst vielleicht keine sensiblen Informationen per e-Mail; empfangen wirst du sie aber wohl. Und ja, die können alle kein PGP oder S/MIME; von Signal will ich mal gar nicht sprechen :)

Gerhard Poul, 2018-05-16 07:49

Ja, das ist richtig. Und bestätigt das, was ich sage. E-Mail ist unsicher, auch wenn man S/MIME oder PGP einsetzt. Weil es auch ohne funktioniert.

Volker Weber, 2018-05-16 07:55

Ok, dann drehen wir das doch mal um. Signal, Threema, iMessage sind schnell aufgesetzt und funktionieren. SMIME und PGP are a pain to use und anscheinend auch unsicher.

Aber was verwendet man, wenn man die Konversationen archivieren muss, die Texte etwas länger sind als was in blaue Blasen passt, man formatieren will, grössere Mengen an Attachments austauschen soll ... und ... die Sachen vertraulich und sicher verschlüsseln will?

Peter Daum, 2018-05-16 09:35

Zum Thema Signal:

https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injection/advisory/

Selbes Spiel.

Christian Gut, 2018-05-16 09:59

Christian, veraltet.

Peter, wie erfüllt man Deine Bedingungen mit PGP?

Volker Weber, 2018-05-16 10:22

Peter,
größere Mengen an Attachments verschickt man auch nicht per Mail.
Die legt man auf einem per HTTPS erreichbaren Server ab, verschickt den Download-Link per Mail, und das zugehörige Passwort übermittelt man auf einem sicheren Alternativ-Weg, z.B. Signal.

Manfred Wiktorin, 2018-05-16 12:26

Das ist die Bastellösung. Richtig macht man das zum Beispiel mit Microsoft Teams.

Volker Weber, 2018-05-16 12:56

Ein Vorteil von S/MIME liegt ja darin, dass die beteiligten Parteien kein gemeinsames Benutzerverzeichnis benötigen und sie dennoch verschlüsselte Nachrichten austauschen können, weil man sich bzw. den verwendeten Client Zertifikaten gegenseitig vertraut. Kann man mit Microsoft Teams sichere B2B und B2C Kommunikation unter Verwendung von X.509 Client Zertifikaten machen ohne dass die Mitspieler in einem gemeinsamen Verzeichnis (z.B. Azure AD) registriert sein müssen?

Erik Schwalb, 2018-05-16 13:49

Ja, das X.509 ist schon eine dolle Sache. Dafür, dass das schon so lange existiert, haben doch nicht so viele C ein solches Zertifikat, geschweige denn eine aktuelle CRL.

Was Teams so alles B2B und B2C kann, findet man hier heraus: https://docs.microsoft.com/en-us/microsoftteams/add-guests

Da lassen sich bestimmt ein paar Edge Cases konstruieren, die man damit nicht abdecken kann.

Volker Weber, 2018-05-16 14:04

Wenn ich die Doku richtig verstehe, dann muß ich meine B2B Mitspieler (unabhängig davon, ob die sich nun mittels X.509 client certificate ausweisen oder nicht) immer vorab in "meinem" Verzeichnis registrieren. Das hat nichts mit Edge Cases zu tun sondern genau darin liegt die grundsätzliche Einschränkung im Vergleich zu Email (genau wie bei IBM Connections Cloud, IBM Watson Workspace und allen anderen Anbietern, bei denen nicht nur Freigabelinks auf protected resources generiert werden).
Bei Email genau wie beim Telefon kann halt jeder mitspielen, der einen Anschluß hat...egal bei welchem Provider. Dort müssen dann nicht die einzelnen Kunden für ihre eigenen use cases den "Über-Administrator" spielen sondern die Provider sorgen von sich aus für Interoperabilität....natürlich mit allen bekannten Vor- und Nachteilen hinsichtlich Security.

Erik Schwalb, 2018-05-16 15:40

Das ist das Schöne an den Messengern. Es gibt keinen (sichtbaren) Admin, keine X.509-Zertifikate. Man legt einfach los. Und kann natürlich auch Dateien verschicken und solche Sachen. Automatisch verschlüsselt. Das mögen alle, außer den Admins. Und die führen dann Teams ein.

Identity ist die große Kunst. Conditional Access die ganz große. Und da bläst gerade Azure AD die dicken Backen auf.

Volker Weber, 2018-05-16 18:45

Post a comment

Store next two fields in a cookie for you?




Use your full name and a working email address. Unless you want your comment to be removed. No kidding.

Recent comments

Volker Weber on Plantronics 6200 UC :: Erste Eindrücke at 05:56
Stephan H. Wissel on Plantronics 6200 UC :: Erste Eindrücke at 23:00
Bill Mayer on Alexa, do. Not. Panic. at 20:16
Bill Mayer on Echo Show :: First Impressions at 19:52
Stefan Dorscht on Plantronics 6200 UC :: Erste Eindrücke at 17:10
Volker Weber on Plantronics 6200 UC :: Erste Eindrücke at 15:10
Enrico Lippmann on Alexa, do. Not. Panic. at 14:42
Bastian Neumann on Plantronics 6200 UC :: Erste Eindrücke at 14:13
Jörg Hermann on Oberfläche at 22:54
Christian Tillmanns on Oberfläche at 21:22
Ragnar Schierholz on Oberfläche at 20:10
Kai Schmalenbach on Oberfläche at 19:01
Markus Dierker on Echo Show :: First Impressions at 18:59
Philipp Ringler on Oberfläche at 17:31
Volker Weber on Echo Show :: First Impressions at 16:52
Markus Dierker on Echo Show :: First Impressions at 16:44
Volker Weber on Oberfläche at 16:40
Stephan Perthes on Oberfläche at 16:23
Manfred Wiktorin on Oberfläche at 16:19
Christian Tillmanns on Oberfläche at 16:15
Jörg Hermann on Oberfläche at 14:19
Detlef Borchers on Oberfläche at 13:28
Frank Quednau on Lenovo, the Chinese giant that plays by the rules … and loses at 13:23
Robert Dahl on Alexa Nummer Vier at 12:41
Volker Weber on Alexa Nummer Vier at 12:40

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter amazon

Local time is 06:26

visitors.gif

buy me coffee