immerda.ch ist ...

E411 0D15 4C94 C31F 0398 B19A 2B43 74BE E565 BE1E mehr immerda...

Neuigkeiten

Veränderungen, Neuerungen und wichtige Infos

OpenPGP und die Sicherheit von Geräten und Programmen

Publiziert: 18 May 2018

Viele alarmierende Meldungen bezüglich verschlüsselten Emails geisterten die vergangenen Tagen durch die Medien. Es war die Rede, auf die Verschlüsselung von Emails zu verzichten und entsprechende Tools gar zu deinstallieren. Doch wer ein bisschen hinter die clickbait getriebenen, auf maximal Aufmerksam getrimmten Meldungen schaute, hatte schon bald ein anderes Bild. Die Verschlüsselung von PGP Emails wurde keineswegs geknackt (bei s/mime, das vorallem im Firmen Umfeld eingesetzt wird, sieht es etwas schlechter aus). Viel mehr handelt es sich um ein Problem bei der Darstellung im Mailprogram, die es erlaubt den Inhalt von verschlüsselten Emails beim Lesen auch anderen sichtbar zu machen. Dazu muss aber das Mail unterwegs manipuliert werden.

Deshalb: Verschlüsselt weiterhin eure Emails, haltet wie immer eure Tools und Systeme auf einem aktuellen Stand, falls ihr ein Mailprogramm verwendet blockiert "externe Inhalte" oder HTML-Darstellung, und nein, nun deswegen auf zentralisierte Systeme zu wechseln ist keine ernsthafte Alternative.

Hintergrund

Eine Gruppe von Wissenschaftler*innen hat mit Hilfe eines ausgeklügelten Zusammenspiels von verschiedenen Tools und Standards, viele Emailprogramme dazu gebracht, dass sie beim Betrachten von verschlüsselten Emails den Klartext auch an externe Parteien weiterleiten können. Dieses Zusammenspiel haben sie unter dem Titel efail publiziert. Dies ist Fatal und es ist absolut richtig und gut, dass diese Möglichkeit publik wurde, so dass sie schnellst möglichst geflickt werden kann. Hierfür bedarf es Lösungen an verschiedenen Orten, in den verschiedenen Tools.

Die Entdeckung, wie auch die Veröffentlichung der Schwachstelle wurde leider auch umgehend dazu genutzt ganz verschiedene eigene Interessen zu verfolgen. Seien es die Wissenschaftler*innen selbst, welche im Rahmen der aktuell üblichen, aber eigentlich sehr unrühmlichen Art, der Schwachstelle einen eigenen Namen, Logo, Webseite und so weiter gaben. Der Druck auf Forscher*innen sich selbst möglichst bestens und mit grösstmöglichster Aufmerksamkeit zu vermarkten um auch weiterhin an Forschungsgelder zu kommen und ihren Stand in der hart umkämpften Forschungswelt zu etablieren, könnte kein besseres Beispiel haben.

Unter ähnlichem Druck stehen auch Journalist*innen, die möglichst eine dolle Geschichte nach der anderen rauszuhauen haben und ensprechend hatte es die Meldung in zweifelhafter Qualität bis in Zeitungen, wie "Der Bund" geschafft. Aufbereitet, um möglichst viel Aufmerksamkeit und damit Klicks zu generieren, aber mittlerweile weit vom Thema entfernt.

Zu nennen, ist aber auch die EFF (Electronic Frontier Foundation) und Personen aus ihrem Umfeld, welche sich in einem absoluten Tiefgang dazu hinreissen liessen eine Empfehlung rauszugeben und dabei (leider) allen Ernstes den Menschen nahelegte auf die Verschlüsselung von Emails ganz zu verzichten und entsprechende Tools zu deinstallieren. Echt jetzt ernsthaft? Die von ihnen vorgeschlagene Alternative Signal, ist einerseits ein Instantmessenger und damit weit davon entfernt eine ernsthafte Alternative für Emails zu sein. Kommt noch dazu, dass es sich bei Signal im Gegensatz zu Emails nicht um eine föderierte, sondern zentralisierte Infrastruktur (es gibt nur 1 Betreiber von Signal) handelt. Und wäre der Vergleich nicht schon schlecht genug, dann haben sie vermutlich auch einfach ignoriert (oder gar verschwiegen?), dass der Desktop-Client von Signal in den letzten zwei Wochen selber von 2 schwerwiegenden Sichertslücken betroffen war, die nicht nur eine ähnliche Attacke wie Efail erlaubten, sondern es auch gleich noch ermöglichten beliebige Programme auf dem Rechner der Nutzer*in auszuführen. Wir nutzen Signal gerne und empfehlen es auch als die sinnvollere Alternative zu Messengern, wie Telgegram oder WhatsApp. Auch wenn wir weiterhin der Meinung sind, dass eine gute Lösung unter anderem föderiert sein muss und damit Jabber definitiv zu bevorzugen ist.

Aber auch in der Entwicklungscommunity der verschiedenen Tools selbst gab es sehr viel finger-pointing und es wurde eine abwehrende Verteidigungshaltung eingenommen. Dies war sicher auch ein Resultat der vorher besprochenen Akteure und ihrer Effekthascherei. Beispielsweise sei hier zu nennen, dass einige der Tools viel zu komplexe Programmierschnittstellen haben, so dass selbst Programmierer*innen von E-Mailclients sehr einfach Fehler unterlaufen können. Aber auch, dass letztere nicht auf eine entsprechende Abbildung der Komplexität des Themas achten und damit solche Attacken erst ermöglichen.

OpenPGP und efail bei immerda

Wir empfehlen seit Jahren die Nutzung von OpenPGP für die Verschlüsselung von E-Mails und stellen auch verschiedene Tools, Anleitungen usw. zur Verfügung.

  • Unsere Software, schleuder, welche verschlüsselte Emaillisten ermöglicht, war von der Schwachstelle nicht betroffen, und schützte die Nutzer*innen einer Liste aufgrund ihrer funktionsweise vor efail.
  • Unser Webmail Horde ist im efail Artikel erwähnt, wobei die Details zur Angreiffbarkeit eher schwammig bleiben. In der normalen Nachrichtenansicht waren wir nicht betroffen, da wir alle Mails (aus Sicherheitsüberlegungen) im Text Format anzeigen. Beim klick auf "HTML-Daten in einem neuen Fenster anzeigen", gehen wir davon aus, dass wir von der Lücke betroffen waren. Wir haben sofort nach bekanntwerden das Hauptproblem, nämlich dass manipulierte Nachrichten trotzdem angezeigt werden, geflickt. Zudem haben wir mit dem Horde Projekt zusammengearbeitet, um die Lücke dauerhaft zu schliessen.

Im allgemeinen bergen HTML-formatierte Emails, auch ohne efail, immer auch ein gewisses Risiko und wir empfehlen daher ganz darauf zu verzichten. Ausserdem möchten wir auch mal wieder auf folgendes hinweisen: Wir bieten zwar Verschlüsselte Mails im Webmail an, da wir finden, dass es die Einstiegshürde verringert, mehr Leute mit GPG bekannt macht und zu einer breiteren Nutzung von verschlüsselten Mails führt. Aber grundsätzlich ist es besser, die Verschlüsselung geschieht lokal auf eurem Rechner in eine Mailprogramm, wie Thunderbird/Enigmail oder K-9. Damit beispielsweise nur ihr selbst Zugriff auf den privaten Schlüssel habt. Hierbei empfehlen wir immer, sämtliche Software auf einem aktuellen Stand zu halten. Ob es sich dabei nun um GPG, Thunderbird & Enigmail oder um euer System handelt. Die Sicherheit ist immer nur so stark wie das schwächste Glied in der Kette. Neben dem wählen von starken Passwörtern, resp. der Verwendung von Passwortmanagern, ist auch ein aktuelles System wichtig.

Deshalb nochmals: Verschlüsselt weiterhin eure Emails, haltet wie immer eure Tools und Systeme auf einem aktuellen Stand und nein, nun deswegen auf zentralisierte Systeme zu wechseln ist keine ernsthafte Alternative.

Sollten Fragen, Unsicherheiten oder Anmerkungen bestehen, so dürft ihr euch jederzeit bei uns melden. Es hat uns sehr gefreut, dass sich verschiedene Menschen bei uns gemeldet haben, um die Meldungen, die durch die Medien portiert wurden besser zu verstehen.

"Der Efail-Fail ist ein direktes Ergebnis dessen, was Medientheoretiker als "Aufmerksamkeitsökonomie" bezeichnen – Aufmerksamkeit ist heutzutage Kapital."¹. Kapitalismus ist und bleibt scheisse.

Jahresrückblick 2017

28 December 2017

Wir schreiben das 18. Jahr immerda und wollen ein wenig zurückblicken, was sich so getan hat in den letzten 12 Monaten.

mehr

Let's Encrypt!

25 December 2016

Endlich unterstützen wir Zertifikate von Let's Encrypt! Wir haben bereits einige Monate Testbetrieb hinter uns und sind nun bereit für einen öffentlichen Betatest. Um LE für deine Webseite einzuschalten, musst du dich nur bei uns melden. Bald einmal werden wir es wohl standardmässig einschalten.

mehr

Megafon Interview und Verschlüsselungs Schlussspurt

18 December 2016

Wir haben letzthin dem Megafon ein Interview gegeben. Den ersten Teil vom Dezember gibts hier zum nachlesen. Den zweiten Teil findest du schon bald im nächsten Megafon! Aber etwas hat uns natürlich gestört. Nämlich die Behauptung, dass Mails verschlüsseln bei uns kompliziert sei. Deshalb hier die Turbo-Anleitung zum eigenen GPG Schlüssel und die Aufforderung an euch, noch in diesem Jahr einen Schlüssel zu erstellen und euren Freundinnen und Freunden dabei zu helfen!

mehr

Status

Status Updates und Technisches

Automatische Umleitung auf sync.immerda.ch

Publiziert: 21 January 2018

Während unser webmail unter webmail.immerda.ch erreichbar ist, sollte zum synchronisieren von Kalendern und Adressbüchern (also für CalDAV, ics, und Exchange) immer sync.immerda.ch verwendet werden.

Neu leiten wir nun automatisch auf sync.immerda.ch um. Dies kann zur Folge haben, dass zum Beispiel Thunderbird/Lightning das passwort "vergisst" und du es neu eingeben musst.

Wartungsarbeiten

18 January 2018

Update: Abgeschlossen.

mehr

ABGESCHLOSSEN - Wartungsarbeiten - Alle Services

07 January 2018

UPDATE: 7. Januar 18 Uhr CEST: Alle Wartungsarbeiten sind abgeschlossen und die Services wie gewohnt verfügbar.

mehr

xialastatus.net

24 July 2017

Unsere freunde von xiala.net arbeiten zur Zeit daran ihre Dienste wiederherzustellen. Neuste infos findet ihr unter xialastatus.net. Wir hoffen, dass es bald wieder klappt. Dies zeigt, dass Dezentralisierung wichtig ist! Auch bei uns können längere Ausfälle nicht kategorisch ausgeschlossen werden. Es braucht viele immerdas, unterstützt alternativen.

mehr

Behoben: Netzausfall - Dienste nicht erreichbar

21 July 2017

Update 18 Uhr: Alle Services laufen wieder und sind erreichbar. Grund für den Ausfall war ein Stromausfall im Datacenter, welcher vor Ort behoben werden musste.

mehr

Welcome to Schleuder v3

28 May 2017

Viel wurde schon darüber gesprochen, die Software ist seit einiger Zeit veröffentlicht und nun endlich ist sie auch bei immerda.ch angekommen: Schleuder in der Version 3 (3.1 um genau zu sein) ist da!

mehr

Zertifikat Update für immerda.ch

25 March 2017

Unser ssl Zertifikat für alle Dienste unter der immerda.ch domain wurde erneuert. Die neue Version wird in den nächsten Stunden aufgeschaltet.

mehr

Langsam

02 March 2017

Zur Zeit sind einige unserer Dienste sehr langsam. Vorallem betrifft es das Webmail und einige andere Webseiten. Der Grund ist der Ausfall eines internen Dienstes. Das Grundproblem ist bereits behoben. Der Flick wird zur Zeit auf alle Server verteilt.

mehr