Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Bild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

OpenPGP Signaturen lassen sich fälschen

OpenPGP Signaturen sollen zur zuverlässigen Verifizierung des Absenders einer E-Mails betragen. Nachdem kürzlich die Sicherheit von Mail-Verschlüsselungsverfahren im Allgemeinen in Zweifel gezogen wurden (siehe: S/MIME und PGP - E-Mail Verschlüsselung anfällig) kam nun heraus, dass sich auch die Signaturen zumindest optisch fälschen lassen

Das Problem liegt auch hier wieder in der Verfügbarkeit von HTML und CSS, wodurch sich die optische Darstellung einer gültigen Signatur in viele E-Mail Clients nachbauen lässt und so den Eindruck einer gültigen E-Mail Signatur erwecken kann. Ausführlicher lässt sich das bei Golem nachlesen.

Letztlich handelt es sich dabei natürlich nur um optische Täuschungen, ähnlich wie bei Phishing-Mails. Trotzdem sollte man das Problem nicht gleich von der Hand weisen, da eine oberflächliche optische Täuschung im hektischen Kommunikationsalltag oftmals ausreicht.

Das Problem lässt sich wohl auch kaum grundsätzlich lösen. Die E-Mail ist konzeptionell nicht für die Erfordernisse unserer Zeit gemacht und die Dezentralität des Protokolls verhindert eine sinnvolle Weiterentwicklung. Erweiterungen für mehr Sicherheit wie die Ende-zu-Ende Verschlüsselung mittels S/MIME oder OpenPGP, die Formatierung mittels HTML, eine wirkungsvolle Transportverschlüsselung etc. pp. sind lediglich optionale Zusätze, die jeder Client individuell umsetzen muss. Dies verhindert eine konsistente Durchsetzung von mehr Sicherheit im Kommunikationsablauf.

Die E-Mail wird nicht verschwinden, dafür ist sie zu fest etabliert und in die Kommunikationsabläufe von Privatpersonen und Firmen eingebunden. Wirklich sicher wird das Verfahren aber nie werden. Verglichen mit der Briefpost ist dies auch kein wesentlicher Nachteil. Auch diese konnte schließlich jeder auf dem langen Transportweg öffnen und verloren gegangen ist da auch immer mal wieder etwas. Wer sicher kommunizieren will sollte auf einen modernen Messenger wie beispielsweise Signal ausweichen, alles andere sind nur behelfsmäßige Lösungen für ein strukturell unsicheres System (siehe auch: Sichere Messenger - Verschlüsselung und Metadaten).


Bilder:
Einleitungs- und Beitragsbild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

"

Tags: E-Mail, OpenPGP, Kommunikation, Signatur

Die Kommentarfunktion auf [Mer]Curius soll allen interessierten Leserinnen und Lesern einen Austausch ermöglichen. Kritische Meinungen zum Artikel selbst oder anderen Kommentaren sind ausdrücklich erwünscht. Gleichwohl werden Kommentare vor ihrer Veröffentlichung geprüft. Sie erscheinen daher nicht im unmittelbaren Anschluss nach dem Verfassen.


Die Angabe einer E-Mail Adresse ist optional und lediglich notwendig, wenn ein Abonnement zukünftiger Kommentare gewünscht ist.


Informationen zu verarbeiteten personenbezogenen Daten entnehmen Sie bitte der Datenschutzerklärung. Mit dem Verfassen eines Kommentars akzeptieren Sie diese Datenschutzbedingungen.

Lade Kommentar... Das Kommentar wird neu geladen in 00:00.
  • Dieses Kommentar ist noch nicht freigegeben.
    SammysHP · Vor 2 Monaten
    Die Überschrift "OpenPGP Signaturen lassen sich fälschen" ist einfach mal eine glatte Lüge. Signaturen lassen sich (zumindest aktuell) nicht fälschen. Dass manche Clients eine ungenügende Darstellung haben, ist ein anderes Problem.
Schreibe etwas...
Sie sind Gast
oder als Gast schreiben
  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1