GnuPG und alles … kaputt?

Nachdem nun schon im Radio zu hören ist, dass PGP, GnuPG und S/MIME total kaputt wären, hier erst mal eine Teilentwarnung: Aus gut informierten Kreisen, die das Problem schon kennen, wird verlautet, dass das Problem mit HTML-MIME-Encoding zusammenhängt – und nicht mit der eigentlichen Verschlüsselung.

Werner Koch, der Hauptautor von GnuPG, hat dazu heute Morgen Stellung bezogen und bezeichnet die Warnung der EFF als total überzogen. Siehe hier

https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html

Auf dem Kuketz-Blog  wurde ebenfalls über das Problem berichtet:

https://www.kuketz-blog.de/dont-panic-sicherheitsluecke-in-pgp/

Fazit: Bis weiteres bekannt ist, erst mal der Empfehlung von Werner Koch folgen und HTML in Mails deaktivieren, zumindest in Mails, die sensitive Informationen in verschlüsselter Form enthalten oder bei denen eine Signatur dabei ist. Das wurde von mir in Horde so voreingerichtet, so dass alle, die nix an dieser Voreinstellung gedreht haben, auf der sicheren Seite sein sollten.

Alle Nutzer/innen von E-Mail-Clients (z.B. Thunderbird) sollten diese Einstellung noch einmal prüfen: Ansicht – Nachrichteninhalt – Reiner Text

Weiteres wird man dann ab Morgen der Fachpresse entnehmen können. Aber im Moment sieht es so aus, als bewahrheite sich mal wieder:

HTML hat in Mails aus Sicherheitsgründen nichts verloren!

Das war schon immer so und seit heute gibt es noch einen Grund mehr, warum das so ist.