Deine E-Mail-Geheimnisse sind bei Enigmail nicht sicher: Klartext statt Verschlüsselung im Junior-Modus

Du möchtest ein verschlüsseltes E-Mail verschicken und nutzt dafür guten Glaubens Enigmail. Die Thunderbird-Erweiterung verspricht nämlich genau diese Anonymisierung deiner Mails. c’t hat jetzt allerdings aufgedeckt, dass deine Mail-Geheimnisse bei Enigmail so gar nicht sicher sind. Im Gegenteil: Enigmail hat einen Fehler, mit dem die Daten im Klartext, also unverschlüsselt, übermittelt werden. Geschäftsgeheimnisse & Co könnten also von unbefugten Dritten eingesehen werden …

c’t ist durch einen Zufall bei Recherchearbeiten auf die Sicherheitslücke gestoßen. Aber nicht nur, dass Enigmail die Mails unverschlüsselt schickt. Die Erweiterung behauptet doch steif und fest, dass die Verschlüsselung aktiv ist – zu sehen mit dem Verweis „Sicher & Vertraut“ oder „Privatsphärenstatus: Sicher“ unten im Editor. Das heißt, der Nutzer kommt gar nicht auf die Idee, dass sein Informationen gefährdet sein könnten.

Verschlüsselung funktionierte bei keinem einzigen Test auf Windows

Problemherd dieser Sicherheitslücke ist der „Junior-Modus“ von Enigmail, der seit April diesen Jahres automatisch aktiviert ist. Dieser Modus hat eigentlich Gutes im Sinn. Mit dem Verschlüsselungssystem Pretty Easy Privacy übernimmt er für den User ohne großartigen Aufwand die Verschlüsselung. Bzw. hätte er das tun sollen. Denn bei den von c’t durchgeführten Enigmail 2.0.8-Tests mit Thunderbird 60 auf Windows funktionierte die Verschlüsselung nicht nur ab und zu nicht. Sie klappte nie!

„Junior-Modus“ unbedingt deaktivieren

Wenn du macOS- oder Linux-User bist, scheint das Problem nicht vorhanden zu sein. Wenn du aber Windows-Nutzer bist heißt es spätestens jetzt: Nutze den Standardmodus und deaktiviere den Junior-Modus, wenn dieser auch einfacher handelbar ist. Das Problem liegt übrigens nicht in Enigmail selbst, sondern in der Pretty Easy Privacy-Verschlüsselung. Wenn du auf den Junior-Standard bestehst, ist dies nun auch wieder möglich. Die Pretty Easy Privacy-Entwickler haben zwischenzeitlich als Notlösung eine alte Version wiederbelebt, welche allerdings Bugs enthält. Diese kannst du dir in dein Enigmail laden. Oder aber du wartest auf die bereinigte Version. Die Entwickler wissen nach eigener Aussage bereits, worin das Problem liegt und arbeiten an einer Behebung desselben.

Quelle: heise.de


Erstellt am: 7. Oktober 2018

Artikel aus der gleichen Kategorie:

 
Legal Disclaimer VPNTESTER

Schreibe einen Kommentar