Enigmail verschickt Krypto-Mails im Klartext

In der verbreiteten Thunderbird-Erweiterung Enigmail steckt ein fataler Fehler. Das Problem betrifft den Junior-Modus, der seit April standardmäßig aktiv ist.

Ein fataler Fehler in der beliebten Thunderbird-Erweiterung Enigmail kann dafür sorgen, dass Mails, die nach Angabe der Software verschlüsselt werden, im Klartext durch die Leitung gehen. Wer sich darauf verlässt und mit der Funktion vertrauliche oder gar geheime Informationen verschickt, riskiert, dass diese von Dritten mitgelesen werden.

Der Fehler findet sich im sogenannten Junior-Modus, der nach der Enigmail-Installation standardmäßig akiv ist. In diesem Modus kommt das Verschlüsselungsverfahren Pretty Easy Privacy (pEp) zum Einsatz, das Mail-Verschlüsselung erleichtern und für jedermann nutzbar machen soll. Es nimmt dem Nutzer sämtliche Einrichtungsschritte ab und nutzt im Hintergrund das etablierte OpenPGP.

Ob verschlüsselt wird, erkennt man an einer Statusmeldung am unteren Rand des Mail-Editors. Steht dort „Privatsphärenstatus: Sicher“ oder „Sicher & Vertraut“, dann sollte eigentlich kein Zweifel daran bestehen dürfen, dass die derzeit verfasste Mail Ende-zu-Ende-verschlüsselt übertragen wird. Das ist derzeit allerdings ein Trugschluss – die Nachricht wird ungeschützt verschickt.

Das Problem konnte unter Windows mit dem aktuellen Thunderbird 60 und der ebenfalls aktuellen Enigmail-Version 2.0.8 mehrfach zuverlässig reproduziert werden. Ein Versand verschlüsselter Mails gelang im Junior-Modus in keinem einzigen Fall.

Unter Linux und macOS existiert der Fehler nach derzeitigem Kenntnisstand nicht. Wer Enigmail unter Windows einsetzt, sollte den Junior-Modus umgehend ausschalten und in den komplexeren Standardmodus wechseln.

Öffnen Sie hierzu das Thunderbird-Menü über den Button mit den drei Linien oben rechts und klicken Sie auf Einstellungen / Einstellungen / Datenschutz. Unter „Enigmail Junior-Modus“ wählen Sie schließlich „Nutzung von S/MIME und Enigmail erzwingen“, um den Junior-Modus aufs Abstellgleis zu schicken.

Der Fehler steckt nicht im Enigmail-Code, sondern im pEp-Modul, welches nicht von Enigmail-Entwickler Patrick Brunschwig stammt, sondern von der pEp-Foundation beigesteuert wird. Es ist zwar fester Bestandteil jeder Enigmail-Installation, wird jedoch separat entwickelt und lässt sich unanhängig von der Enigmail-Erweiterung aktualisieren.

Am Dienstagabend meldeten die pEp-Entwickler, dass sie den Fehler nachvollziehen konnten und informierten ihre Nutzer über verschiedene Kommunikationskanäle über die unerfreuliche Situation. Man arbeite derzeit an einem Update des pEp-Moduls, welches den sicheren Betrieb unter Windows wieder gewährleisten soll. Bis dahin sollten Windows-Nutzer vom Einsatz des Junior-Modus von Enigmail absehen, finden auch die Entwickler.

2018-10-03T13:07:15+00:00