Zu Efail und verschlüsselter Email-Kommunikation

Viel wurde in den letzten Tagen zum angeblichen Versagen der Verschlüsselungstechniken OpenPGP und S/MIME geschrieben und mindestens genauso viel davon war falsch, halbwahr oder schiere Panikmache. Weder sind die Verschlüsselungstechniken fehlerhaft noch sind sie geknackt. Sie sind immer noch sicher und ungeknackt.

Scheinbar aber lässt es eine mangelhafte Einbindung von OpenPGP und S/MIME in (nahezu alle) Email-Clients (aka Thunderbird, Outlook,…) zu, dass über einen fiesen Sidekick verschlüsselte Emails im Klarttext bei den Angreifer*innen ankommen.

Die technischen Hintergründe dazu sind mir viel zu hoch, das wichtige für uns als Aktivist*innen ist aber, dass wir diesen Sidekick relativ gut abwehren können, indem wir drei Dinge beachten (gilt nur für die Verwendung von Thunderbird in debian-gnu/linux-basierten Betriebsystemen, habe keine Lust mich mit Windows, Apple und Android zu beschäftigen):

1. verwendet die aktuellste Version des Thunderbird-Addons Enigmail (es verbindet Thunderbird mit GnuPG und ermöglicht so das verschlüsselte Kommunizieren per Email). Sie ist die Tage veröffentlicht worden und sie lautet 2.04. Ich habe das so getan: Die alte Version in den Thunderbird-Erweiterungen deaktiviert und dann die neue Version über die Add-on-Verwaltung installiert.

2. lasst euch von eurem Thunderbird die Nachrichteninhalte nur im Reintext und auf keinen Fall in HTML-Form anzeigen. Das könnt ihr im Reiter „Ansicht“ unter „Nachrichteninhalt“ einstellen. Einfach ein Häkchen bei „Reintext“ setzen.

3. lasst auf keinen Fall externe Bilder in eintreffenden Mails zu. Dies könnt ihr in den Einstellungen nachschauen. Dort klickt ihr auf “Datenschutz”. Wenn dort bei “externe Inhalte in Nachrichten erlauben” KEIN Häkchen ist, ist das gut. Falls dort ein Häkchen ist, klickt es weg. Mehr zu externen Inhalten erfahrt ihr, wenn ihr den dortigen Link anklickt.

Also: Immer brav weiterhin eure Emails verschlüsseln. Und wie die Autonome Antifa Freiburg in ihrer gestrigen Meldung schrieb: Don’t panic!

Hintergrundinfos findet ihr hier:

Efail:
https://www.efail.de/

Heise:
https://www.heise.de/security/artikel/PGP-und-S-MIME-So-funktioniert-Efail-4048873.html
https://www.heise.de/newsticker/meldung/Efail-Was-Sie-jetzt-beachten-muessen-um-sicher-E-Mails-zu-verschicken-4048988.html
https://www.heise.de/security/meldung/PGP-E-Mail-Verschluesselung-akut-angreifbar-4048489.html

Interview mit dem Hauptentwickler von Enigmail:
https://www.heise.de/security/meldung/Enigmail-Chefentwickler-im-Interview-Efail-Veroeffentlichung-war-unueberlegt-4049783.html

Emailverschlüsselung:
https://emailselfdefense.fsf.org/de/

GnuPG-Infografik

Zum Originalbeitrag