Mike Kuketz
14. Mai 2018 | 11:02 Uhr

Don’t panic: Sicherheitslücke in PGP

Auf der GnuPG Mailing-Liste gibt es erste Reaktionen zur Sicherheitslücke in PGP/GPG:

[…]

Werner saw a preprint of this paper some time ago. I saw it recently. Patrick Brunschwig of Enigmail saw it. None of us are worried. Out of respect for the paper authors I will skip further comment until such time as the paper is published.

Und eine Reaktion von Werner Koch (Entwickler von GnuPG):

Hi!

Some may have noticed that the EFF has warnings about the use of PGP out which I consider pretty overblown. The GnuPG team was not contacted by the researchers but I got access to version of the paper related to KMail. It seems to be the complete paper with just the names of the other MUAs redacted.

[…]

Es werden auch Details bekannt gegeben, wie die Sicherheitslücke »unschädlich« gemacht werden kann:

– Don’t use HTML mails. Or if you really need to read them use a proper MIME parser and disallow any access to external links.

– Use authenticated encryption.

Die erste Maßnahme predige ich nun schon seit Jahren. In Thunderbird »View -> Message Body As -> Plain Text«.

Insgesamt glaube ich, dass die Empfehlung der EFF damit maßlos übertrieben ist. Ihr müsst die Plugins (Enigmail) in Thunderbird und Co. nicht deinstallieren. Es sollte bereits genügen, HTML E-Mails nicht anzeigen zu lassen, sondern nur als Text. Wer auf Nummer sicher gehen möchte, der deaktiviert Enigmail und Co. bis weitere Details bekannt sind bzw. das Paper veröffentlicht wurde.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
Ähnliche Beiträge
E-Mail Verschlüsselung
19. Juli 2013

Verschlüsselte E-Mails mit GnuPG als Supergrundrecht

E-Mail Verschlüsselung mit GnuPG als Schutz gegen Datenschnüffellei.
Web Key Directory
11. September 2019

GnuPG: Web Key Directory (WKD) einrichten

Mit Web Key Directory (WKD) wird der Schlüsselaustausch stark vereinfacht. Via HTTPS-Verzeichnis wird der öffentliche Schlüssel bereitgestellt.
GnuPG Fingerprint
8. August 2017

GnuPG: Das Dilemma mit den Schlüsselservern

Bei der E-Mail-Verschlüsselung via GnuPG solltet ihr euren Kontakt immer via Fingerprint verifizieren.
GnuPG-Key
10. Juni 2019

GnuPG-Schlüsselerstellung und Smartcard-Transfer – Nitrokey Teil2

Anleitung zur Generierung eines GPG-Schlüsselpärchens inklusive der anschließenden Übertragung auf die sichere Smartcard des Nitrokeys.
Datensouveränität
19. Dezember 2018

Umgang mit Daten im Privatleben – Datensouveränität Teil3

Ihr könnt etwas für eure Datensouveränität tun, werdet euch dessen bewusst und handelt.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.