Don’t panic: Sicherheitslücke in PGP
Auf der GnuPG Mailing-Liste gibt es erste Reaktionen zur Sicherheitslücke in PGP/GPG:
[…]
Werner saw a preprint of this paper some time ago. I saw it recently. Patrick Brunschwig of Enigmail saw it. None of us are worried. Out of respect for the paper authors I will skip further comment until such time as the paper is published.
Und eine Reaktion von Werner Koch (Entwickler von GnuPG):
Hi!
Some may have noticed that the EFF has warnings about the use of PGP out which I consider pretty overblown. The GnuPG team was not contacted by the researchers but I got access to version of the paper related to KMail. It seems to be the complete paper with just the names of the other MUAs redacted.
[…]
Es werden auch Details bekannt gegeben, wie die Sicherheitslücke »unschädlich« gemacht werden kann:
– Don’t use HTML mails. Or if you really need to read them use a proper MIME parser and disallow any access to external links.
– Use authenticated encryption.
Die erste Maßnahme predige ich nun schon seit Jahren. In Thunderbird »View -> Message Body As -> Plain Text«.
Insgesamt glaube ich, dass die Empfehlung der EFF damit maßlos übertrieben ist. Ihr müsst die Plugins (Enigmail) in Thunderbird und Co. nicht deinstallieren. Es sollte bereits genügen, HTML E-Mails nicht anzeigen zu lassen, sondern nur als Text. Wer auf Nummer sicher gehen möchte, der deaktiviert Enigmail und Co. bis weitere Details bekannt sind bzw. das Paper veröffentlicht wurde.