Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Bild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

OpenPGP Signaturen lassen sich fälschen

OpenPGP Signaturen sollen zur zuverlässigen Verifizierung des Absenders einer E-Mails betragen. Nachdem kürzlich die Sicherheit von Mail-Verschlüsselungsverfahren im Allgemeinen in Zweifel gezogen wurden (siehe: S/MIME und PGP - E-Mail Verschlüsselung anfällig) kam nun heraus, dass sich auch die Signaturen zumindest optisch fälschen lassen

Das Problem liegt auch hier wieder in der Verfügbarkeit von HTML und CSS, wodurch sich die optische Darstellung einer gültigen Signatur in viele E-Mail Clients nachbauen lässt und so den Eindruck einer gültigen E-Mail Signatur erwecken kann. Ausführlicher lässt sich das bei Golem nachlesen.

Letztlich handelt es sich dabei natürlich nur um optische Täuschungen, ähnlich wie bei Phishing-Mails. Trotzdem sollte man das Problem nicht gleich von der Hand weisen, da eine oberflächliche optische Täuschung im hektischen Kommunikationsalltag oftmals ausreicht.

Das Problem lässt sich wohl auch kaum grundsätzlich lösen. Die E-Mail ist konzeptionell nicht für die Erfordernisse unserer Zeit gemacht und die Dezentralität des Protokolls verhindert eine sinnvolle Weiterentwicklung. Erweiterungen für mehr Sicherheit wie die Ende-zu-Ende Verschlüsselung mittels S/MIME oder OpenPGP, die Formatierung mittels HTML, eine wirkungsvolle Transportverschlüsselung etc. pp. sind lediglich optionale Zusätze, die jeder Client individuell umsetzen muss. Dies verhindert eine konsistente Durchsetzung von mehr Sicherheit im Kommunikationsablauf.

Die E-Mail wird nicht verschwinden, dafür ist sie zu fest etabliert und in die Kommunikationsabläufe von Privatpersonen und Firmen eingebunden. Wirklich sicher wird das Verfahren aber nie werden. Verglichen mit der Briefpost ist dies auch kein wesentlicher Nachteil. Auch diese konnte schließlich jeder auf dem langen Transportweg öffnen und verloren gegangen ist da auch immer mal wieder etwas. Wer sicher kommunizieren will sollte auf einen modernen Messenger wie beispielsweise Signal ausweichen, alles andere sind nur behelfsmäßige Lösungen für ein strukturell unsicheres System (siehe auch: Sichere Messenger - Verschlüsselung und Metadaten).


Bilder:
Einleitungs- und Beitragsbild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

"

Tags: E-Mail, OpenPGP, Kommunikation, Signatur

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

5000 Buchstaben übrig


  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1