Die Berichterstattung um die Lücken in E-Mail-Clients, die Angreifer nutzen können, um verschlüsselte E-Mails zu entschlüsseln und zu entwenden, rief viel Kritik bei Entwicklern und Sicherheitsexperten hervor. So hatte sich Werner Koch, der Erfinder von GNU Privacy Guard (GnuPG) auf der GnuPG-Mailingliste dahingehend geäußert, in Sachen OpenPGP sei die Panikmache vor allem der EFF übertrieben. Jetzt haben sich auch die PGP-Entwickler in einer gemeinsamen Erklärung zur Ehrenrettung ihrer Software entschieden. Es äußern sich Andy Yen, der Gründer von ProtonMail, Phillip Zimmermann als Erfinder von Pretty Good Privacy (PGP), Patrick Brunschwig als Entwickler von Enigmail sowie der Mailvelope-Gründer Thomas Oberndörfer.
Unnötig aufgebauscht
Die Kritik richtet sich auch hier gegen die Berichterstattung der Electronic Frontier Foundation (EFF), die ein Papier der Entdecker der Lücken aufgegriffen hatte und damit ein weltweites Medienecho bis hin zur Tagesschau ausgelöst hatten. Die PGP-Entwickler richten sich gegen einige Aussagen in der Presseberichterstattung und stellen klar:
[su_quote style=“modern-light“ cite=“PGP-Entwickler“ url=“https://protonmail.com/blog/pgp-efail-statement/“]»Diese Aussagen sind höchst irreführend und potenziell gefährlich. PGP ist nicht defekt. Die von EFail identifizierten Schwachstellen sind keine Fehler des OpenPGP-Protokolls selbst, sondern Fehler in bestimmten Implementierungen von PGP, darunter in Apple Mail, Mozilla Thunderbird und Microsoft Outlook. Viele andere häufig verwendete Software, die auf PGP basiert, sind von der EFail-Schwachstelle in keiner Weise betroffen, wie die Forscher selbst in ihrem Beitrag betonen. Als offener Standard kann jeder PGP implementiere und es überrascht nicht, dass einige Implementierungen Sicherheitslücken aufweisen. Dies bedeutet jedoch nicht, dass PGP selbst defekt ist.«[/su_quote]
Empfehlung für Anwender
Die Empfehlung der Verfasser der Stellungnahme geht dahin, stets aktuelle Versionen der jeweiligen Software zu verwenden. So wurde beispielsweise der E-Mail-Client Thunderbird bereits aktualisiert und größtenteils gegen die Lücken immunisiert. Die Entwickler bitten darum, dass jeder auch seine Kommunikationspartner informiert und zur Aktualisierung der Software animiert.
Software, die auf PGP, GnuPG, Mailvelope und ProtonMail basiert, war nie gegen EFAIL anfällig. Enigmail und GPGtools waren verwundbar, jedoch ließ sich ein Angriff relativ leicht verhindern. Bei der Verwendung von Enigmail muss Version 2.05 verwendet werden und nur einfaches HTML ohne Nachladen externer Inhalte oder noch besser, reine Textansicht in Thunderbird. Bei GPGTools muss ebenfalls das Nachladen externer Inhalte deaktiviert werden.
Empfehlung der EFF zu rigide
Die EFF empfahl Benutzern, PGP-Plugins zu deaktivieren oder die Verwendung von PGP ganz einzustellen. Das sei so ähnlich wie zu sagen: »Einige Schlösser könnten aufgebrochen werden, deshalb müssen wir alle Türen entfernen.« Das sei besonders gefährlich, da es Personen gefährden kann, die sich aus Sicherheitsgründen auf PGP-Verschlüsselung verlassen, so die Entwickler. Somit ist nach EFAIL die Benutzung von E-Mail genauso (un)-sicher wie eh und je.
