Kommentar: EFAIL – Nebelkerzen und was ist eigentliche eine Lücke?

Die Entdecker der Lücke hatten ihre PR-Kampagne sorgsam geplant und mit EFAIL auch einen schönen Namen für die Lücke gefunden. Die voreilige Empfehlung der EFF Mailverschlüsselung gleich komplett zu deaktivieren war dann auch ziemlich drastisch (siehe auch: S/MIME und PGP – E-Mail Verschlüsselung anfällig).

Während sich aus dem Bereich S/MIME bisher niemand zu Wort meldete (gibt es überhaupt eine formalisierte Entwicklung des Standards?) starteten die Leute hinter GPG  eine eigene PR-Offensive mit vielschichtigen Stoßrichtungen. Erstens beklagte man, dass keine Kontaktaufnahme im Vorfeld erfolgte, was sich anschließend als falsch herausstellte. Parallel dazu verlegte man sich auf die Strategie, alle Schuld den Mailclients zuzuschieben. Diese seien fehlerhaft und der Verschlüsselungsstandard nicht gebrochen. Weiterhin verwies man auf bereits ausgerollte Updates.

Die Schwachstelle HTML war auch Wasser auf die Mühlen der Open Source-Gemeinde, die diese Erweiterungen der sauberen textbasierten E-Mail schon immer für Teufelszeug gehalten hat. Hier sprang man in den Kommentarspalten den GPG-Entwicklern gerne bei. Man konnte fast den Eindruck gewinnen, dass es gar kein Problem geben würde. Dabei ist genau das Gegenteil der Fall. Die Entdecker der Lücke (mit zugegebenermaßen einer etwas kritischen PR-Politik) hatten frühzeitig die Entwickler der entsprechenden Tools kontaktiert. Dort erkannt man teilweise nicht wie schwerwiegend das Problem war.

Bei anderen Projekten kippten die Entdecker der Lücke im übertragenen Sinne Benzin ins Feuer. Thunderbird ist bereits seit längerem als besonders anfälliger Mailclient bekannt. Ohne grundsätzliche Überarbeitung der Basis und des Addonsystems wird sich da nichts ändern. Anscheinend hat man auch grundlegende Problem umfassende Sicherheitsupdates rauszubringen. Laut Paper der Entdecker ist sogar der vielgescholtene Mailclient von KDE KMail, der chronisch unter Entwicklermangel leidet, nicht so hart betroffen und konnte schnell reagieren.

Das einzig gute für die Open Source Gemeinde. Die proprietären Clients und das von ihnen bevorzugte S/MIME ist noch viel schlimmer dran, denn der Standard bietet im Gegensatz zu OpenPGP noch nicht mal in der Theorie einen Schutz gegen Nachrichtenmanipulation. Außerdem haben Microsoft und Apple für ihre populären Clients Outlook und Mail bisher keine Updates ausgerollt oder wenigstens angekündigt.

Trotzdem sollte man nicht der Einnebelungsstrategie der GPG/PGP Entwickler aufsitzen. Der Standard ist anfällig und kommt mit modernen Bestandteilen einer E-Mail (ja, HTML ist inzwischen verbreitet!) nicht gut zurecht. Sich auf den Standpunkt zurückzuziehen, dass es keine Lücke gibt stärkt die eigene Glaubwürdigkeit nicht.

Unabhängig von der PR-Strategie der EFAIL-Forscher macht die Qualitätssicherung der GPG-Projekte auch keine besonders gute Figur. Es ist leider nicht das erste Mal, dass kritische Open Source-Projekte nicht professionell reagieren.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...