Viren, Trojaner, Malware, Spione, Abofallen

Computer und Zubehör, Konsolen, Tablets, Handys, Software, Games und Unterhaltungselektronik...
Forumsregeln
Link
Benutzeravatar
Offline
Cybermancer
Superintelligenz
Beiträge: 2472
Registriert: 11. Juli 2012, 15:47
Schwere Sicherheitslücken in GPG und S/MIME :

https://www.heise.de/security/artikel/P ... 48873.html
It is no measure of health to be well adjusted to a profoundly sick society.
https://pgp.mit.edu/pks/lookup?op=get&s ... CC04F151DE
https://www.youtube.com/watch?v=WiMwVlpD-GU
Benutzeravatar
Offline
Clark Flipper
Superintelligenz
Beiträge: 2341
Registriert: 29. Juni 2012, 23:34
Wohnort: Nordlicht
Die überwiegende Anzahl von Mails werden wie verschlüsselt? :rolleyes:

Richtig! Ganz und gar ohne. ;-)
Die Ultimativen Antworten des SF:
"Es geschieht weil es geschah." und "42"
Bild
Bild
Offline
little_guck
Siganese
Beiträge: 43
Registriert: 10. Mai 2015, 13:23
Cybermancer hat geschrieben:Schwere Sicherheitslücken in GPG und S/MIME :

https://www.heise.de/security/artikel/P ... 48873.html


bitte keine Panikmache bzw. die Panikmache anderer Seiten unterstützen.

1. GPG hat keine Lücke
2. Die Lücke ist das E-Mail-Programm bzw. das Plugin
3. GnuPG nutzt "Modification Detection Code" (seit 2001(?)). Fehlt der Code oder ist er verändert, wirft GnuPG eine Warnung aus. Was das Plugin oder das Mailprogramm daraus macht, steht auf einem anderen Blatt. Und wie der User mit so einer Warnung umgeht erst recht.
4. wer ein aktuelles Mailprogramm (Outlook 2016, Thunderbird 52.8) hat, eine aktuelle Version von GnuPG (2.2.x) hat sowie ein aktuelles Plugin (GpgOL 2.1.x, Enigmail 2.x) hat, kann sich für PGP zurücklehnen.
5. bei S/MIME sieht es leider nicht ganz so gut aus

wer keine aktuelle Softwareversion hat, sollte HTML-Mails abschalten und TEXT-Mails nehmen. Zum Anderen sollte das Nachladen aus dem Internet (z.B. für Bilder, ...) deaktiviert sein.

Wir sollten keine Panik bekommen sondern einfach schauen, welche Mailprogramme und welche Plugins betroffen sind. Betroffen ist z.B. Outlook 2007. Aber wer nutzt das noch? Ist es also wirklich ein Problem? Für die meisten User wird ein simples Update auf die aktuellen Versionen das Problem lösen.

für mehr Wissen und Hintergründe empfehle ich nicht die typischen PC-Boulevardzeitungen sondern die Mailinglisten zu GnuPG, GgpOL, ...
Offline
little_guck
Siganese
Beiträge: 43
Registriert: 10. Mai 2015, 13:23
Clark Flipper hat geschrieben:Die überwiegende Anzahl von Mails werden wie verschlüsselt? :rolleyes:

Richtig! Ganz und gar ohne. ;-)


und das macht es besser?

ebenso wie die verschlüsselt abgelegten Daten in der Bordpositronik.
Heft 259 Der unheimliche Roboter

verschlüsselter Hyperfunkspruch
Heft 323 Die Zeitpolizei

Das war beides vor Ewigkeiten. Sollte das nicht Ansporn für uns sein?
Benutzeravatar
Offline
Clark Flipper
Superintelligenz
Beiträge: 2341
Registriert: 29. Juni 2012, 23:34
Wohnort: Nordlicht
Es zeigt Desinteresse.
Nun kann man fragen warum das so ist.

Aber das letzte Mal bei so einer Frage,
da musste ich mir ganz wilde Geschichten erzählen lassen.
Die Ultimativen Antworten des SF:
"Es geschieht weil es geschah." und "42"
Bild
Bild

Re: Viren, Trojaner, Malware, Spione, Abofallen

Beitragvon Ben Grimm » 14. Mai 2018, 22:03

Ben Grimm
Cybermancer hat geschrieben:Schwere Sicherheitslücken in GPG und S/MIME :

https://www.heise.de/security/artikel/P ... 48873.html


Fefe äußert sich auch dazu:
http://blog.fefe.de/?ts=a4076a8a
Benutzeravatar
Offline
Cybermancer
Superintelligenz
Beiträge: 2472
Registriert: 11. Juli 2012, 15:47
little_guck hat geschrieben:
bitte keine Panikmache bzw. die Panikmache anderer Seiten unterstützen.

1. GPG hat keine Lücke

Sorry, aber wo gibt es den formalen Beweis dafür? Habe ich da was übersehen?
2. Die Lücke ist das E-Mail-Programm bzw. das Plugin
3. GnuPG nutzt "Modification Detection Code" (seit 2001(?)). Fehlt der Code oder ist er verändert, wirft GnuPG eine Warnung aus. Was das Plugin oder das Mailprogramm daraus macht, steht auf einem anderen Blatt. Und wie der User mit so einer Warnung umgeht erst recht.
4. wer ein aktuelles Mailprogramm (Outlook 2016, Thunderbird 52.8) hat, eine aktuelle Version von GnuPG (2.2.x) hat sowie ein aktuelles Plugin (GpgOL 2.1.x, Enigmail 2.x) hat, kann sich für PGP zurücklehnen.

Sieht irgendwie nicht so aus:
https://heise.cloudimg.io/width/528/q75 ... 0c20da.png

Was sagt das Paper über MDC?
Stripping the MDC.
Similar to the previous attempt, the
MDC can also be removed, such that the client can not
check the MDC at all. This is easily possible by removing
the last 22 bytes from the ciphertext.

Sicher?
5. bei S/MIME sieht es leider nicht ganz so gut aus

wer keine aktuelle Softwareversion hat, sollte HTML-Mails abschalten und TEXT-Mails nehmen. Zum Anderen sollte das Nachladen aus dem Internet (z.B. für Bilder, ...) deaktiviert sein.

Wir sollten keine Panik bekommen sondern einfach schauen, welche Mailprogramme und welche Plugins betroffen sind. Betroffen ist z.B. Outlook 2007. Aber wer nutzt das noch? Ist es also wirklich ein Problem? Für die meisten User wird ein simples Update auf die aktuellen Versionen das Problem lösen.

für mehr Wissen und Hintergründe empfehle ich nicht die typischen PC-Boulevardzeitungen sondern die Mailinglisten zu GnuPG, GgpOL, ...

Die haben aber nicht so viele bunte Bilder. :rolleyes: :rolleyes:
It is no measure of health to be well adjusted to a profoundly sick society.
https://pgp.mit.edu/pks/lookup?op=get&s ... CC04F151DE
https://www.youtube.com/watch?v=WiMwVlpD-GU
Offline
little_guck
Siganese
Beiträge: 43
Registriert: 10. Mai 2015, 13:23
Sorry, aber wo gibt es den formalen Beweis dafür? Habe ich da was übersehen?
führe einfach mal GPG auf Kommandoebene aus und Du wirst sehen, GPG mault rum, sobald etwas nicht stimmt. Vielleicht hätte ich es anders formulieren sollen. GPG hat mit Sicherheit Probleme im Code wie jede andere Software auch und ist somit vermutlich nicht fehlerfrei. Aber dieses Problem ist nicht gegeben seit 2001.

Sieht irgendwie nicht so aus:
https://heise.cloudimg.io/width/528/q75 ... 0c20da.png
also wenn ich die Tabelle sehe, ist Outlook 2016 und GPG alles grün. S/MIME ist das Problem.

MDC can also be removed, such that the client can not check the MDC at all
wie Du selbst geschrieben hast, das Problem ist der Mailclient bzw. das Plugin, nicht GPG. Denn GPG mault rum wenn der MDC fehl oder verändert wurde.

Was sagt das Paper über MDC?
habe noch nicht alles gelesen. Mein Schlaf ist mir auch wichtig. Allein die Tatsache, das efail sagt Enigmail ist unsicher und Enigmail sagt, ihre Version 2.x ist sicher, sollte dazu führen, das ganze Papier kritisch zu betrachten. Aussage gegen Aussage. Und meist liegt die Wahrheit irgendwo dazwischen. Und wenn man EFF benachrichtigt, das GnuPG-Projekt aber nicht, obwohl man GPG den Fehler in die Schuhe schiebt, nun ja, in Baden würde man wohl sagen, das die Geschichte "a Gschmäckle" hat.



Noch etwas Lesefutter:
Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.“, schreibt das Bundesamt für Sicherheit in der Informationstechnik in einer Mitteilung und stellt damit klar, dass der E-Mail-Client das Problem ist und nicht die Verschlüsselungstandards als solche. Schlagzeilen wie „PGP wurde geknackt“ sind demnach falsch.
https://www.zdnet.de/88333493/efail-pgp-verschluesselung-wurde-nicht-gehackt/

We have performed a deeper analysis of the #Efail PGP vulnerabilities. No, ProtonMail is not vulnerable. No, PGP is not broken. Yes, the media got it wrong (again). Yes, proper implementation of crypto matters.
https://twitter.com/ProtonMail/status/996188672448921605




Die haben aber nicht so viele bunte Bilder. :rolleyes: :rolleyes:
da kann ich Dir und Clark Flipper nur zustimmen. Was ich mir im Familien/Freundes/Bekannten-Kreis schon den Mund fusslig geredet habe... aber sobald die Bequemlichkeit eingeschränkt wird, ist Sicherheit uninteressant.
Vorherige

Zurück zu Hard- und Software

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste