pEp-Foundation hat Sicherheitslücke in Enigmail/pEp geschlossen

Die pEp-Foundation hat eine schwerwiegende Sicherheitslücke geschlossen, die im sogenannten „Junior-Modus“ des Verschlüsselungs-Add-ons Enigmail unter Windows – und nur dort – zutage getreten war. In diesem Modus kommt das Verschlüsselungsverfahren Pretty Easy Privacy (pEp) zum Einsatz, das Mail-Verschlüsselung erleichtern und für jedermann nutzbar machen soll. Es nimmt dem Nutzer sämtliche Einrichtungsschritte ab und nutzt im Hintergrund das etablierte OpenPGP.

Ein Zusammenspiel von Fehlern in der pEp-Software und Enigmail hat nach Aussage der pEp-Foundation dafür gesorgt, dass Enigmail beim Verfassen einer Mail suggerierte, die Verschlüsselung sei aktiv, der Versand in Wahrheit jedoch im Klartext geschah. Ob verschlüsselt wird, erkennt man an einer Statusmeldung am unteren Rand des Mail-Editors. Steht dort „Privatsphärenstatus: Sicher“ oder „Sicher & Vertraut“, dann sollte eigentlich kein Zweifel daran bestehen dürfen, dass die derzeit verfasste Mail Ende-zu-Ende-verschlüsselt übertragen wird.

Das Update habe „länger gedauert als erwartet“, und es sei dafür ausreichend getestet worden. Der Fehler sei zwischen dem 26.9. und 03.10. aktiv gewesen. Deshalb seien nur maximal 6000 Nutzer davon betroffen, weil das Problem nur in neuen Installationen auftritt. Soviele Downloads habe Patrick Brunschwig, der Hauptentwickler des Enigmail-Projekts, in der Zeitspanne verzeichnet. Und nur in diesem Zeitraum hat man das fehlerhafte Update unter Windows einspielen können.

2018-10-16T08:36:25+00:00