Die efail-Panik

Nun haben wir den Salat! Die Verschlüsselung von E-Mails wird eh kaum benutzt. Zu kompliziert, zu teuer (Zertifikate für S/MIME kosten Geld – wenn auch nur geringe Kosten), und diverse andere Argumente werden hier angebracht. Und jetzt mit efail ist das Ganze auch nicht mehr sicher.

Eigentlich ist das aber nicht ganz so schlimm wie das von der Presse publiziert wird. Sicherlich, die Schwachstelle ist da und diese sauber zu schließen ist nicht einfach. Auch zeigt diese auf, dass es dringend notwendig ist die Integrität der E-Mails sicher zu stellen. Zumindest bei PGP gibt es hier ja schon Lösungsansätze.

Möglichkeiten sich zu schützen gibt es. Lesen im Textmodus oder die vereinfachte HTML-Darstellung. Die Art und Weise wie das Ganze jedoch von den Entdeckern angepackt wurde ist mehr als unschön. Das Ganze schaut mehr nach dem Wunsch nach maximaler Aufmerksamkeit aus.

Allein wenn man sich das Interview auf heise.de mit Patrick Brunschwig durchliest erfährt man, dass hier immer wieder nur Teilinformationen an die Entwickler gelangt sind. Wie soll hier ein sauberer Fix gelingen, wenn einem Entwickler nicht alle Informationen dargelegt werden?

Auch die Medien und das EFF muss man hier angreifen. Dort wurde sofort die komplette Deaktivierung von Enigmail/PHP empfohlen. Das war zu diesem Zeitraum aber schon seit drei Monaten mit einem Patch ausgestattet.

Der Verzicht auf Verschlüsselung ist auch keine Lösung! Im Gegenteil! Das Problem muss gelöst werden und nicht die Verschlüsselung abgeschafft werden. Auch ist es Blödsinnig, jetzt groß Messenger zu propagieren. Das ist ein komplett anderer Übertragungsweg. Auch hier hat sich keiner der Autoren irgendwelche Gedanken gemacht. Allein bei dem Strichwort Archivierungspflicht müssten sich bei allen Verantwortlichen die Haare sträuben…