Cryptowars, Cypherpunks und ein Fehlalarm

Mitte Mai brachte ein Tweet der Electronic Frontier Foundation viele Menschen weltweit dazu, ihre E-Mail-Verschlüsselung abzuschalten. Die US-Bürgerrechtsorganisation behauptete, einen schwerwiegenden Fehler im Kryptographiesystem GNU Privacy Guard gefunden zu haben, der die Computer, auf denen das System eingesetzt wird, angreifbar mache. Sie empfahl, entsprechende Plug-ins für E-Mail-Programme zu entfernen. Wer das tat, konnte anschließend keine verschlüsselten Mails mehr senden oder empfangen. Alte verschlüsselte Mails ließen sich nur noch mit Mühe lesen. Dabei war die Warnung völlig unnötig.

Innerhalb kurzer Zeit stellte sich heraus, dass die Sicherheitslücke gar nicht die Verschlüsselungssoftware selbst betraf, sondern die E-Mail-Programme. Für den Fall, dass ein Angreifer in der Lage ist, E-Mails vor der Zustellung abzufangen und zu manipulieren, könnte etwas eingeschleuster HTML-Code das E-Mail-Programm dazu bringen, den entschlüsselten Inhalt an einen Server im Internet zu schicken. Das ist eine peinliche Lücke für die Programmierer von Software wie Microsoft Outlook oder Apple Mail. Die eigentliche Verschlüsselung wurde dabei aber nicht geknackt und auch private Schlüssel des Programms kamen nicht abhanden. Wer sich gegen den unwahrscheinlichen Angriff schützen möchte, sollte die Anzeige von HTML-Mails abschalten – eine Einstellung, die aus Sicherheitsgründen in jedem E-Mail-Programm vorgenommen sein sollte.

Weiterlesen in der Jungle World