Apple Mail auch betroffen: E-Mail-Verschlüsselung ist laut Sicherheitsforschern kaputt

Die am weitesten verbreiteten Verfahren zur E-Mail-Verschlüsselung sind offenbar kaputt, das fanden deutsche Sicherheitsforscher kürzlich heraus. Das betrifft alle Anwendungen, die auf PGP und S/MIME setzen, mithin auch Apple Mail. Auch bereits versendete Mails sind in Gefahr, entschlüsselt zu werden.

Was gerade passiert, ist möglicherweise ein sehr spät angesetztes Begräbnis für einige Dinosaurier der IT-Sicherheit. Wenn es nämlich darum ging, E-Mails verschlüsselt zu versenden und auch zu empfangen, ging bislang kaum ein Weg an Lösungen wie PGP respektive inzwischen zumeist die Opensource-Version davon und S/MIME vorbei.

Beide Verfahren haben einiges gemeinsam: Sie sind uralt und wurden via Plugins in diverse E-Mail-Lösungen integriert. Microsoft Outlook zählt etwa zu den unterstützen Programmen, Thunderbird und auch Apple Mail, auch mobile Lösungen für iOS und Android gibt es.

PGP galt und gilt dabei als unsäglich umständlich und von der Benutzung her als geradezu anwenderfeindlich, aber zumindest galt es auch als ziemlich sicher – bis jetzt.

Alles kaputt: Schaden kaum zu reparieren

Anscheinend weisen beide Verschlüsselungslösungen signifikante Schwächen auf, genauer ist offenbar die Implementierung in die verschiedenen Softwareprodukte anfällig, wie Sicherheitsforscher um den Experten Sebastian Schinzel von der Fachhochschule Münster herausgefunden haben. E-Mails können so im Klartext gelesen werden und auch bereits in der Vergangenheit versandte Mails lassen sich nachträglich entschlüsseln.

We’ll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4

— Sebastian Schinzel (@seecurity) 14. Mai 2018

Danach wäre bei PGP womöglich noch nicht alles verloren, denn die Suite und Plugins können aktualisiert und vielleicht gegen die Probleme immunisiert werden. S/MIME wird aber in vielen Fällen PGP vorgezogen und das aus gutem Grund: Verglichen mit PGP und dessen Ablegern ist es in der Handhabung deutlich komfortabler und lässt sich auch ohne große Einarbeitung einsetzen.

Bedauerlicherweise ist es keine in aktiver Entwicklung befindliche Lösung und zumeist fester Bestandteil der Betriebssysteme. Die Sicherheitsforscher sehen daher hier keine nennenswerten Chancen auf baldige Abhilfe.

Als alternative Möglichkeit zur Verschlüsselung von Nachrichten und Dateien wird der Messenger Signal (Affiliate-Link) ins Gespräch gebracht, der auch den Datentransfer zulässt. Er steht auch in einer Version für den Mac zur Verfügung.

Anders als S/MIME und PGP unterstützt er die sogenannte Vorwärtssicherheit, das bedeutet, früher versandte Nachrichten bleiben sicher, auch wenn der Schlüssel kompromittiert wird.

* Bei den hier genutzten Produkt-Links handelt es sich um Affiliate-Links, die es uns ermöglichen, eine kleine Provision pro Transaktion zu erhalten, wenn ihr über die gekennzeichneten Links einkauft. Dadurch entstehen euch als Leser und Nutzer des Angebotes keine Nachteile, ihr zahlt keinen Cent mehr. Ihr unterstützt damit allerdings die redaktionelle Arbeit von WakeUp Media®. Vielen Dank!