Die Entdecker der Lücke hatten ihre PR-Kampagne sorgsam geplant und mit EFAIL auch einen schönen Namen für die Lücke gefunden. Die voreilige Empfehlung der EFF Mailverschlüsselung gleich komplett zu deaktivieren war dann auch ziemlich drastisch (siehe auch: S/MIME und PGP – E-Mail Verschlüsselung anfällig).
Während sich aus dem Bereich S/MIME bisher niemand zu Wort meldete (gibt es überhaupt eine formalisierte Entwicklung des Standards?) starteten die Leute hinter GPG eine eigene PR-Offensive mit vielschichtigen Stoßrichtungen. Erstens beklagte man, dass keine Kontaktaufnahme im Vorfeld erfolgte, was sich anschließend als falsch herausstellte. Parallel dazu verlegte man sich auf die Strategie, alle Schuld den Mailclients zuzuschieben. Diese seien fehlerhaft und der Verschlüsselungsstandard nicht gebrochen. Weiterhin verwies man auf bereits ausgerollte Updates.
Die Schwachstelle HTML war auch Wasser auf die Mühlen der Open Source-Gemeinde, die diese Erweiterungen der sauberen textbasierten E-Mail schon immer für Teufelszeug gehalten hat. Hier sprang man in den Kommentarspalten den GPG-Entwicklern gerne bei. Man konnte fast den Eindruck gewinnen, dass es gar kein Problem geben würde. Dabei ist genau das Gegenteil der Fall. Die Entdecker der Lücke (mit zugegebenermaßen einer etwas kritischen PR-Politik) hatten frühzeitig die Entwickler der entsprechenden Tools kontaktiert. Dort erkannt man teilweise nicht wie schwerwiegend das Problem war.
Bei anderen Projekten kippten die Entdecker der Lücke im übertragenen Sinne Benzin ins Feuer. Thunderbird ist bereits seit längerem als besonders anfälliger Mailclient bekannt. Ohne grundsätzliche Überarbeitung der Basis und des Addonsystems wird sich da nichts ändern. Anscheinend hat man auch grundlegende Problem umfassende Sicherheitsupdates rauszubringen. Laut Paper der Entdecker ist sogar der vielgescholtene Mailclient von KDE KMail, der chronisch unter Entwicklermangel leidet, nicht so hart betroffen und konnte schnell reagieren.
Das einzig gute für die Open Source Gemeinde. Die proprietären Clients und das von ihnen bevorzugte S/MIME ist noch viel schlimmer dran, denn der Standard bietet im Gegensatz zu OpenPGP noch nicht mal in der Theorie einen Schutz gegen Nachrichtenmanipulation. Außerdem haben Microsoft und Apple für ihre populären Clients Outlook und Mail bisher keine Updates ausgerollt oder wenigstens angekündigt.
Trotzdem sollte man nicht der Einnebelungsstrategie der GPG/PGP Entwickler aufsitzen. Der Standard ist anfällig und kommt mit modernen Bestandteilen einer E-Mail (ja, HTML ist inzwischen verbreitet!) nicht gut zurecht. Sich auf den Standpunkt zurückzuziehen, dass es keine Lücke gibt stärkt die eigene Glaubwürdigkeit nicht.
Unabhängig von der PR-Strategie der EFAIL-Forscher macht die Qualitätssicherung der GPG-Projekte auch keine besonders gute Figur. Es ist leider nicht das erste Mal, dass kritische Open Source-Projekte nicht professionell reagieren.
