Schlagwort: Verschlüsselung

VORSICHT: Enigmail „vergisst“ zu verschlüsseln

Guten Morgen,

ich bin bei SourceForge auf eine Bug-Meldung gestoßen, die ich leider reproduzieren konnte. Im Einsatz dabei Thunderbird als Mailclient (V24.6.0) und Enigmail (V1.7.2):

Wenn ich Nachrichten signiere, ist alles in bester Ordnung. Wenn ich aber Nachrichten verschlüssele, passiert folgendes: Ich werde zunächst nach der Passphrase gefragt. Dann scheint es so, als wenn die Mail verschlüsselt und versendet wird. Um dann beim Empfänger im Klartext anzukommen! Witziger Weise scheint die Signatur aber in Ordnung zu sein. Merkwürdiger geht kaum, weil das bedeutet, dass Enigmail die unverschlüsselte Mail erst signiert und dann vergisst sie zu verschlüsseln.

Fehler in Enigmail: Es wurde kein Schlüssel zum Entschlüsseln angegeben. Dort dürfte auf keinen Fall Klartext zu lesen sein...
Fehler in Enigmail: Es wurde kein Schlüssel zum Entschlüsseln angegeben. Dort dürfte auf keinen Fall Klartext zu lesen sein…

Bis der Bug behoben ist, darf auf keinen Fall angenommen werden, dass Mails tatsächlich verschlüsselt übermittelt werden. Solltet Ihr Enigmail nutzen, wartet bitte auf ein hoffentlich bald kommendes Update!

 

 

Ebay möchte ein unsicheres Netz?!

Ebay ist ja immer wieder für Überraschungen gut – und wenn ich dann alle Jubeljahre mal wieder dort bin, staune ich oft nicht schlecht. Aktuell sorgt Ebays Verständnis von Sicherheit im Internet bei mir für akutes Kopfschütteln:

Gerade Ebay schreibt sich ja immer auf die Fahne, für Kundensicherheit sorgen zu wollen. Um mich dann im nächsten Moment völlig perplex dastehen zu lassen.

Was ist passiert?

Ich habe auf Ebay einen Gegenstand verkauft und der Käufer hat mir über das Mail-System eine Mail geschickt. Die kann man auf Ebay beantworten, oder einfach via „Reply to“ aus dem EMail-Programm heraus. Letzteres habe ich gemacht und dabei ist die Mail, wie alle anderen, standardmäßig mit einer PGP-Signatur(!) versehen worden. Sekunden später:

Betreff: Ihre Nachricht an xxxxx war verschlüsselt und wurde nicht gesendet

Hallo XXXXX,

Um unsere Mitglieder vor Identitätsdiebstahl und unerwünschten E-Mails zu schützen, lassen wir die Verschlüsselung von E-Mails nicht zu. Da Ihre letzte E-Mail an thorsten9023 verschlüsselt war, haben wir sie nicht gesendet.

Bitte entfernen Sie die Verschlüsselung und senden Sie die Nachricht erneut.

Mehr zum Thema verschlüsselte E-Mails erfahren Sie unter http://pages.ebay.de/help/account/email-undelivered.html#encryption

Ganz großes WTF?
Abgesehen davon, dass die EMail nicht verschlüsselt, sondern nur signiert war, möchte Ebay sie nicht versenden? Das ist schon kurios. Aber total merkwürdig ist doch die Begründung, mit dem Verbot verschlüsselter Mails die Empfänger vor Identitätsdiebstahl und Spam schützen zu wollen?

Denn PGP / GnuPG macht bekanntlich ja genau das Gegenteil. Und setzt ja voraus, dass der Empfänger, im Falle der Verschlüsselung, mir seinen Public Key überhaupt erst einmal zur Verfügung stellt.

Tatsächlich dürfte der Grund sein, dass Ebay in die Nachrichten reinschauen können will, die über sein Mailsystem laufen. Über das warum kann man dabei herzlich spekulieren. Aber letztlich ist das nicht wichtig. Wichtig ist die Auswirkung, die ein solches Vorgehen hat. Denn damit mache ich es erstens unnötig schwer, die Integrität von EMails sicher zu stellen. Und zweitens möchte ich nicht wissen, wie viele Menschen die Begründung von Ebay einfach mit einem Kopfnicken hinnehmen, weil sie leider nicht verstehen, was für ein Schwachsinn das ist.

Ganz, ganz böses Foul von Ebay.

Warum eMails eine Ende-zu-Ende-Verschlüsselung brauchen

Natürlich habt Ihr nix zu verbergen. Warum solltet Ihr Eure Mails verschlüsseln!

Oder habt Ihr doch was zu verbergen? Ich mein, wenn Ihr echt nix zu verbergen habt, dann schreibt doch mal Eure Zugangsdaten, ich schau dann mal nach. Ach doch nicht? Dachte ich mir.

Das es aber noch andere Gründe geben kann, seine Mails zu verschlüsseln, zeigt Microsoft. Ja, richtig gelesen, es geht ausnahmsweise mal nicht um die NSA. Denn auf Heise kann man lesen:

Microsoft hat auf der Suche nach einem Informationsleck die E-Mails eines Bloggers im hauseigenen Dienst Hotmail durchsucht.

Und machen wir uns nix vor: Jedes Unternehmen, auf dessen Servern unsere Mails liegen, kann das tun. Und jeder Admin der Server kann das machen, wenn er Lust darauf hat. Dagegen hilft auch nicht die aktuell von T-Online und United Internet beworbene „Verschlüsselung“ des Transportweges. Ist ja nett, wenn die Mails auf dem Weg zum Server verschlüsselt werden, prinzipbedingt liegen sie dort dann allerdings unverschlüsselt rum.

Um daher den Inhalt von Mails vor neugierigen Augen zu schützen, gibt es nur eine Möglichkeit: Verschlüsseln

Natürlich geht das mit minimalem Aufwand einher. Aber das ist nicht mehr Aufwand als die bewußte Entscheidung, einen Brief in einen Umschlag zu stecken und keine Postkarte zu versenden.

Also Leute, kriegt bitte ENDLICH Eure Ärsche hoch und fangt an, Mails mit PGP/GnuPG zu verschlüsseln! Ich helfe Euch auch gerne dabei!

 

So verschlüsseln Informanten nicht sicher – danke Spiegel!

Auf Spiegel Online gibt es eine Unterseite, wie man Informationen an den Spiegel verschlüsselt. Und die ist leider unbrauchbar.

Grundsätzlich ist zwar der Einsatz von TrueCrypt durchaus ein Mittel der Wahl, wenn man verschlüsselte Informationen übergeben will. Das scheitert hier aber daran, dass der Spiegel vorschlägt, die CD/DVD mit dem Container doch einfach per Post zu schicken und das Passwort mit getrennter Post.

Das ist natürlich Blödsinn. Denn das würde voraussetzen, dass die Post nicht abgefangen wird. Was eine ziemlich naive Ansicht darstellt.

Besser wäre gewesen, den Schlüssel ausschließlich im persönlichen Kontakt zu übergeben. Oder, wenn das scheitert, sicherzustellen, dass Datenträger und Schlüssel auf grundsätzlich unterschiedlichem Weg ankommen.

Noch simpler wäre natürlich gewesen, wenn Spiegel Online einen PGP-Key hätte. Denn dann könnte man den Schlüssel verschlüsselt als eMail senden. Oder gleich die Information als eMail, verschlüsselt mit PGP.

Also, lieber Spiegel, gut gemeint ist nicht gut gemacht.

IM Friedrich: Wetten, ich kann hellsehen?

Im Moment macht IM Friedrich ja Furore. Unter anderem mit seinem… sagen wir mal unglücklichen Auftreten in Sachen  #PRISM. Und hier besonders seit gestern, als er laut Spiegel forderte: „IM Friedrich: Wetten, ich kann hellsehen?“ weiterlesen