#26 17.05.2018 16:45:09

TBone
Mitglied

Re: EFail

k.osmo schrieb:

Nun, klar. Wie kommt der Schadcode auf die Platte?

Was meinst du denn mit Schadcode? Den img-Tag?
Eventuell speichert dein Mail-Client die e-Mail auf deiner Platte, das macht aber überhaupt keinen Unterschied, ob er es nun speichert oder nicht.

Offline

#27 18.05.2018 16:13:03

k.osmo
Mitglied

Re: EFail

TBone, ich betone dein Zitat (edit) aktuell (/edit) so:

No. The EFAIL attacks require the attacker to have access to your S/MIME or PGP encrypted emails. You are thus only affected if an attacker already has access to your emails. However, the very goal of PGP or S/MIME encryption is the protection against this kind of attacker. (…)

Entweder liegt der Schadcode bei mir, beim Absender oder bei einem Provider, sonst gäbe es keinen Zugang zu den Mails. Saubere Quellen und Senken, genauso der Transportweg bleiben entscheidend, Verschlüsselung hin oder her. Genau darauf weist EFAIL hin. Verschlüsselung macht den Unterschied zwischen Brief und Postkarte. Schon wenn mir Eines (lies: eine Person; aber auch: ein Programm) beim Schreiben zusieht, ist es ein Leak.

Beitrag geändert von k.osmo (18.05.2018 16:29:45)

Offline

#28 19.05.2018 14:27:15

TBone
Mitglied

Re: EFail

k.osmo schrieb:

Entweder liegt der Schadcode bei mir, beim Absender oder bei einem Provider, sonst gäbe es keinen Zugang zu den Mails.

Doch. Es gibt MTAs, die überhaupt keine Verschlüsselung unterstützen (oder nur Schwache) und dann gibt es eine Menge Anbieter, welche Zertifikate nicht prüfen und damit anfällig für MITM sind, dafür muss auf keinem der genannten Systeme Schadcode sein. Abgesehen davon muss zur Herausgabe der Mails seitens eines der Provider kein Schadcode vorhanden sein, eine gewisse Sklavenmentalität reicht dazu schon aus. (oder kriminelles Potential)
https://de.ssl-tools.net/providers

k.osmo schrieb:

Saubere Quellen und Senken, genauso der Transportweg bleiben entscheidend, Verschlüsselung hin oder her. Genau darauf weist EFAIL hin.

Es weißt darauf hin, dass einige Mail-Clients schwachsinnig Implementiert sind und das XOR einfach auszunutzen ist (was davor schon bekannt war). GPG ist ja dazu gedacht, dass ich eben dem Transportweg (inkl Provider) nicht vertrauen muss.

Beitrag geändert von TBone (19.05.2018 14:48:36)

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums