#efail :: Die ganz große Welle

by Volker Weber

Sketch

Es gibt immer wieder einen Sicherheitsforscher, der das ganz große Ding entdeckt. Und dann stürzt sich jeder drauf, der Klicks gebrauchen kann. Man kann also den Nippel derart durch die Lasche ziehen, dass die im Mail User Agent verankerte Verschlüsselungssoftware den Klartext rausrückt. Mancher Experte fühlte sich berufen, eine De-Installation zu empfehlen. Damit kann niemand mehr den Klartext bekommen. Der User auch nicht. Alles weg. Dumme Sache.

Mich hat das seltsam unberührt gelassen. Ja, Email ist unsicher. Fensterscheiben sind es auch. Man kann tatsächlich bei mir reingucken. Und einen ernsthaften Penetrationstest bestehen sie auch nicht.

Ich tausche per Email einfach keine sensiblen Informationen aus. Das meiste sind Pressemitteilungen, Veranstaltungseinladungen, Benachrichtigungen über bereits veröffentliche Kommentare oder andere Dinge, die für die Veröffentlichung bestimmt sind.

Was wirklich privat oder sensibel ist, das läuft bei mir per iMessage oder Signal. Anders als Email sind die von Anfang an als sichere Architekturen entworfen. Was man bei Email irgendwie draufstricken muss, ist hier bereits eingebaut. Immer und für jeden. Wie einfach.

Comments

Tatsächlich ist efail ein fail in sich. Es ist ein übertriebener Hype um Lücken in Email-Clients, die Probleme mit HTML-E-Mails haben. Viel heiße Luft um wenig, alles arg übertrieben. PGP ist sicher, S/MIME ist sicher, E-Mail-Clients haben Bugs. nix neies.

Dirk Steins, 2018-05-15

Prinzipiell stimme ich dir zu; andererseits auch wieder nicht; denk einmal an deine Flugbuchungsbestätigungen... mit den Links da drin kann man so einiges machen. Das ist vielleicht nicht super geheim, aber es quasi via Postkarte zu verschicken ist eigentlich auch nicht die genialste Idee. Von Password-Resets will ich mal gar nicht anfangen.

Also du verschickst vielleicht keine sensiblen Informationen per e-Mail; empfangen wirst du sie aber wohl. Und ja, die können alle kein PGP oder S/MIME; von Signal will ich mal gar nicht sprechen :)

Gerhard Poul, 2018-05-16

Ja, das ist richtig. Und bestätigt das, was ich sage. E-Mail ist unsicher, auch wenn man S/MIME oder PGP einsetzt. Weil es auch ohne funktioniert.

Volker Weber, 2018-05-16

Ok, dann drehen wir das doch mal um. Signal, Threema, iMessage sind schnell aufgesetzt und funktionieren. SMIME und PGP are a pain to use und anscheinend auch unsicher.

Aber was verwendet man, wenn man die Konversationen archivieren muss, die Texte etwas länger sind als was in blaue Blasen passt, man formatieren will, grössere Mengen an Attachments austauschen soll ... und ... die Sachen vertraulich und sicher verschlüsseln will?

Peter Daum, 2018-05-16

Zum Thema Signal:

https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injection/advisory/

Selbes Spiel.

Christian Gut, 2018-05-16

Christian, veraltet.

Peter, wie erfüllt man Deine Bedingungen mit PGP?

Volker Weber, 2018-05-16

Peter,
größere Mengen an Attachments verschickt man auch nicht per Mail.
Die legt man auf einem per HTTPS erreichbaren Server ab, verschickt den Download-Link per Mail, und das zugehörige Passwort übermittelt man auf einem sicheren Alternativ-Weg, z.B. Signal.

Manfred Wiktorin, 2018-05-16

Das ist die Bastellösung. Richtig macht man das zum Beispiel mit Microsoft Teams.

Volker Weber, 2018-05-16

Ein Vorteil von S/MIME liegt ja darin, dass die beteiligten Parteien kein gemeinsames Benutzerverzeichnis benötigen und sie dennoch verschlüsselte Nachrichten austauschen können, weil man sich bzw. den verwendeten Client Zertifikaten gegenseitig vertraut. Kann man mit Microsoft Teams sichere B2B und B2C Kommunikation unter Verwendung von X.509 Client Zertifikaten machen ohne dass die Mitspieler in einem gemeinsamen Verzeichnis (z.B. Azure AD) registriert sein müssen?

Erik Schwalb, 2018-05-16

Ja, das X.509 ist schon eine dolle Sache. Dafür, dass das schon so lange existiert, haben doch nicht so viele C ein solches Zertifikat, geschweige denn eine aktuelle CRL.

Was Teams so alles B2B und B2C kann, findet man hier heraus: https://docs.microsoft.com/en-us/microsoftteams/add-guests

Da lassen sich bestimmt ein paar Edge Cases konstruieren, die man damit nicht abdecken kann.

Volker Weber, 2018-05-16

Wenn ich die Doku richtig verstehe, dann muß ich meine B2B Mitspieler (unabhängig davon, ob die sich nun mittels X.509 client certificate ausweisen oder nicht) immer vorab in "meinem" Verzeichnis registrieren. Das hat nichts mit Edge Cases zu tun sondern genau darin liegt die grundsätzliche Einschränkung im Vergleich zu Email (genau wie bei IBM Connections Cloud, IBM Watson Workspace und allen anderen Anbietern, bei denen nicht nur Freigabelinks auf protected resources generiert werden).
Bei Email genau wie beim Telefon kann halt jeder mitspielen, der einen Anschluß hat...egal bei welchem Provider. Dort müssen dann nicht die einzelnen Kunden für ihre eigenen use cases den "Über-Administrator" spielen sondern die Provider sorgen von sich aus für Interoperabilität....natürlich mit allen bekannten Vor- und Nachteilen hinsichtlich Security.

Erik Schwalb, 2018-05-16

Das ist das Schöne an den Messengern. Es gibt keinen (sichtbaren) Admin, keine X.509-Zertifikate. Man legt einfach los. Und kann natürlich auch Dateien verschicken und solche Sachen. Automatisch verschlüsselt. Das mögen alle, außer den Admins. Und die führen dann Teams ein.

Identity ist die große Kunst. Conditional Access die ganz große. Und da bläst gerade Azure AD die dicken Backen auf.

Volker Weber, 2018-05-16

Recent comments

Volker Weber on Recording video on iPhone with Buetooth headset at 00:01
Gregory Engels on Recording video on iPhone with Buetooth headset at 22:41
Martin Hiegl on Cryptodamages: Monetary value estimates of the air pollution and human health impacts of cryptocurrency mining at 17:45
Markus Dierker on Recording video on iPhone with Buetooth headset at 08:25
Volker Weber on Cryptodamages: Monetary value estimates of the air pollution and human health impacts of cryptocurrency mining at 22:48
Maximilian von Hulewicz on Cryptodamages: Monetary value estimates of the air pollution and human health impacts of cryptocurrency mining at 08:09
Andreas Weinreich on Withings ECG :: Erste Eindrücke at 21:30
Andy Mell on Very fast October update for Galaxy S10 at 18:56
Volker Weber on Withings ECG :: Erste Eindrücke at 16:53
Bernd Fellerhoff on Withings ECG :: Erste Eindrücke at 15:23
Stanislaus Landeis on iCloud Drive file sharing delayed until spring 2020 at 12:55
Volker Weber on AirPlay 2 richtig verwenden at 11:52
Matthias Welling on AirPlay 2 richtig verwenden at 09:30
Volker Weber on AirPlay 2 richtig verwenden at 23:10
Steve Smillie on Very fast October update for Galaxy S10 at 21:58
Ragnar Schierholz on AirPlay 2 richtig verwenden at 21:34
Ragnar Schierholz on Withings ECG :: Erste Eindrücke at 18:05
Peter Meuser on Endlich habe ich Samsung DeX kapiert at 17:00
Torsten Pinkert on Very fast October update for Galaxy S10 at 16:45
Christian Tillmanns on Cryptodamages: Monetary value estimates of the air pollution and human health impacts of cryptocurrency mining at 16:17
Armin Auth on Lenovo Chromebook C340-11 #stuffthatworks at 11:49
Maximilian von Hulewicz on Cryptodamages: Monetary value estimates of the air pollution and human health impacts of cryptocurrency mining at 10:06
Markus Mews on Lenovo Chromebook C340-11 #stuffthatworks at 09:27
Christian Tillmanns on Cryptodamages: Monetary value estimates of the air pollution and human health impacts of cryptocurrency mining at 07:44
Federico Hernandez on Lenovo Chromebook C340-11 #stuffthatworks at 18:52

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 07:40

visitors.gif

buy me coffee

Paypal vowe