Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

iCloud sichert Transport von E-Mails - allerdings unzureichend

Nachdem gestrigen Ausfall des iCloud-Mail-Dienstes, der laut Apple lediglich 0,1 Prozent der registrierten Nutzer betraf, ist nun offenbar der gesicherte Transport von E-Mails über verschlüsselte SSL-Verbindung aktiv. Im Juni hatte Apple angekündigt, in Kürze E-Mails verschlüsselt an andere Mail-Dienste zu übertragen, sofern dies auf der Gegenseite unterstützt wird. Laut Sicherheitsexperten ist die eingesetzte Verschlüsselung nicht mehr zeitgemäß.

So verwendet Apple TLS/SSL mit dem Verschlüsselungsverfahren RC4 oder 3DES, was in Fachkreisen als unsicher gilt. In den vergangenen Jahren wurden immer wieder praktische Angriffsszenarien beschrieben, die Zweifel an der Sicherheit dieser Verschlüsselungsverfahren nähren. Es wird mittlerweile davon ausgegangen, dass Geheimdienste diese Verfahren in Echtzeit entschlüsseln können.

Erschwerend kommt noch hinzu, dass Apple E-Mails unverschlüsselt überträgt, wenn die Gegenstelle RC4 und 3DES aufgrund mangelnder Sicherheit nicht mehr unterstützt. Hier besteht seitens Apple also noch Nachholbedarf. Zudem gilt es zu beachten, dass E-Mails wie bei anderen Anbietern nur beim Transport verschlüsselt werden. Um E-Mails im Postfach zu verschlüsseln, müssen Nutzer Zusatzlösungen wie PGP und S/MIME verwenden.

Weiterführende Links:

Kommentare

macmagus15.07.14 08:52
Wer glaubt denn bitte, dass E-Mails sicher sind? Jede E-Mail, die versendet wird, ist wie eine Postkarte. Jeder der will, kann diese auch lesen. Im Gegensatz zur E-Mail ist die Postkarte nur für einige lesbar. Wer also eine E-Mail schreibt und keinen Briefumschlag (PGP o.ä.) verwendet, ist halt nicht so clever. 😉
0
zod198815.07.14 08:57
Ich halte das auch für Quatsch. Dass Mails unsicher sind ist ziemlich bekannt und statt sich da groß drum zu kümmern, sollte man lieber überall Möglichkeiten zur Ablösung der Email schaffen.
0
Peter Eckel15.07.14 09:01
Wer glaubt denn bitte, dass E-Mails sicher sind?
99% der Anwender.

Weil nämlich Firmen wie die Telekom, 1&1 und jetzt auch Apple hergehen und den Leuten weismachen, daß eine Transportverschlüsselung gleichbedeutend mit sicherer Mailübertragung sei. Und weil das in der Zeitung stand. Und vermutlich auch in der Tagesschau war (keine Ahnung, ich habe keinen Fernseher).

Die böse NSA hat uns abgehört, und nun haben die lieben deutschen Provider (und jetzt auch Apple!) das verhindert. Hurra! Außerdem haben wir eh nichts zu verbergen. So, und nun weiter mit der Fußball-Weltmeisterschaft, das ist spannender.

Ach nee, die ist ja zu Ende.
Ceterum censeo librum facierum esse delendum.
0
Peter Eckel15.07.14 09:06
statt sich da groß drum zu kümmern, sollte man lieber überall Möglichkeiten zur Ablösung der Email schaffen.
Du gehst davon aus, daß ein neues System sicherer ist als ein altes, das man verbessert. Das ist eine legitime Annahme. Leider ist nichts derartiges in Sicht, jedenfalls nicht in nennenswertem Maße. Und Mail lebt davon, daß jeder sie nutzen kann und jeder erreichbar ist.

Ich verfolge eher den Ansatz, Mail mit vertretbarem Einsatz abzusichern. Einer der Haken dabei ist, daß OpenPGP kompliziert und meines Erachtens (immer noch) nicht massentauglich ist, und S/MIME nichts taugt, weil es von der x.509 PKI-Infrastruktur abhängt. Und daß Geräte wie das iPhone bis heute noch keine Möglichkeit bieten, OpenPGP in den Standard-Mailclient einzubinden. So nutze ich dann als kleinstmögliches Übel S/MIME mit selbstgenerierten und manuell installierten Zertifikaten, was aber halt nicht skaliert. Ansonsten notgedrungen S/MIME mit offiziellen Zertifikaten ... in dem Wissen, daß die Sicherheit dieses Verfahrens sehr trügerisch ist.
Ceterum censeo librum facierum esse delendum.
0
LoCal
LoCal15.07.14 09:09
macmagus
Wer glaubt denn bitte, dass E-Mails sicher sind? Jede E-Mail, die versendet wird, ist wie eine Postkarte. Jeder der will, kann diese auch lesen. Im Gegensatz zur E-Mail ist die Postkarte nur für einige lesbar. Wer also eine E-Mail schreibt und keinen Briefumschlag (PGP o.ä.) verwendet, ist halt nicht so clever. 😉

Da hast Du schon recht, trotzdem ist es ungeschickt von Apple, sich auf überholte Verschlüsselungsverfahren zu beschränken.

Generell bräuchte es etwas wie "email 2.0" die standardisiert echte End-To-End-Verschlüsselung anbietet … allerdings wird das nie kommen, denn die Hürde, das einzurichten, ist für 95% der User zu hoch.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
o.wunder
o.wunder15.07.14 09:18
Online kann Apple nicht richtig, war schon immer so und ist wohl immer noch so - schade.
0
adiga
adiga15.07.14 09:48
Um wirklich sicher zu sein, sollten nicht nur die Transportwege, sondern auch der "Speicherort" verschlüsselt und der (die) Schlüssel NUR beim Anwender liegen.

Schade, dass die Apple Cloudmail anscheinend kein AES kann. Das wäre schon ein grosser Fortschritt gegenüber 3DES. Mit AES-128 wäre man State-of-the-art, allerdings würde auch AES-256 reichen.
0
ctismer
ctismer15.07.14 10:10
Hier ein Auszug aus dem original-Heise-Artikel.
So erfreulich es ist, dass auch Apple endlich den Mail-Versand im Internet durch Verschlüsselung gegen die real stattfindende Massenüberwachung abschirmt, so fragwürdig sind die eingesetzten Verfahren. Nicht nur, dass Apple weit hinter den bei der Konkurrenz längst selbstverständlichen Standards zurückfällt. Dass der Konzern dabei mit RC4 ausgerechnet das Verfahren bevorzugt, von dem Insider behaupten, die NSA könne es bereits in Echtzeit dechiffrieren, hinterlässt einen sehr schalen Beigeschmack. (ju)

Wobei ich diese Unterstellung nur zeigen, aber nicht kommentieren will.
0
sierkb15.07.14 12:32
ctismer:

Warum formulierst Du das so als sei das eine Unterstellung? Das sind Fakten, die nicht nur belegbar, sondern auch bereits belegt sind (u.a. auch durch die durch Snowden geleakten NSA-Dokumente und dazu passende nachfolgenden Kommentare seitens der Verantwortlichen – u.a. dem NSA-Kommentar, dass Apples iOS-Devices für die NSA besonders einfach zu knacken sind).

Hier die zugehörigen noch mehr ins Detail gehenden Heise-Artikel nebst Link, den Du wohl vergessen hast, Deinem Zitat als Quelle hinzuzufügen:

heise (15.07.2014): iCloud-Mail-Versand jetzt auch verschlüsselt
Als einer der letzten großen Mail-Provider hat Apple nun die Sicherung des Transports gegen einfaches Mitlesen eingeschaltet. Die eingesetzten Verfahren lassen allerdings viel zu wünschen übrig.

heise (14.06.2014): Apple verspricht Transportwegverschlüsselung für iCloud-Mail
Der E-Mail-Austausch zwischen iCloud-Konten läuft schon länger gesichert ab. Nun verspricht Apple, Transportwegverschlüsselung bald auch für externe Mailanbieter zu unterstützen.

heise (14.02.2014): Apples iCloud verschickt und empfängt Mail im Klartext
Ein kurzer Nachtest von Apples iCloud-Mail-Diensten förderte zu Tage, dass Apples Mail-Server weniger Schutz vor Schnüfflern bieten als die fast aller anderen Mail-Provider.
0
ctismer
ctismer15.07.14 14:21
sierkb
Irgendwie fühle ich mich unverstanden.
Natürlich waren das alles Fakten, deshalb habe ich nicht zitiert.

Die einzige Unterstellung ist nicht ausgesprochen, aber liegt auf der Hand,
letzter Satz mit "schaler Beigeschmack".

Soll man darin Absicht unterstellen, das Spionieren zu erleichtern, oder ist das
Zufall? Diese Frage wollte ich nur zitieren, damit man sich das fragt. Beantworten kann ich es nicht.
0
sierkb15.07.14 19:16
ctismer
Die einzige Unterstellung ist nicht ausgesprochen, aber liegt auf der Hand,
letzter Satz mit "schaler Beigeschmack".

Soll man darin Absicht unterstellen, das Spionieren zu erleichtern, oder ist das
Zufall? Diese Frage wollte ich nur zitieren, damit man sich das fragt. Beantworten kann ich es nicht.

Die Alternative wäre: Totaler, wiederholter Dilletantismus seitens Apple. Wirft beides kein gutes Licht auf Apple.

Und seit Snowdens geleakten Dokumenten (in denen die NSA sich damit brüstet, wie leicht sie Apples iOS-Endgeräte unter Kontrolle hätten) und auch seit in den letzten Monaten aufgetauchten verschiedenen Debakel rund um die etablierten und sogar von einem Standardisierungsgremium offiziell standardisierten Krypto-Algorithmen für die SSL-Verschlüsselung bzw. deren zugrundeliegenden essentiell wichtigen Zufallsalgorithmen, wovon mindestens einer von der NSA selber maßgeblich mitgeschrieben und dahingehend beeinflusst worden ist und durch die IETF gedrückt worden ist, obwohl es damals schon Proteste dagegen gab, dass er schwächer verschlüsselt als es technisch möglich wäre, damit die NSA leichteres Spiel beim Entschlüsseln und Abgreifen von Daten hat, ja seitdem ist leider auch nicht auszuschließen, dass dahinter Absicht dahintersteckt (die Wahrscheinlichkeit ist jedenfalls gegeben und alles andere als klein und unwahrscheinlich bei alledem, was man bisher wissen kann und was da die letzten Monate und Wochen über ans Licht gekommen ist. Auch in diesem hier vorliegenden Fall. Leider.

Beides ist für den Benutzer nicht schön. Weder Dilletantismus in der Umsetzung. Noch gezielter Vorsatz. Da aber angesichts der erfolgten Nachbesserung immer noch Kritik möglich ist und gewisse, vor Monaten angesprochenen Schwachpunkte bei der Verschlüsselung offenbar immer noch nicht ausgeräumt sind und weiterhin existieren, darf wohl dann schon die Frage in den Raum gestellt werden, ob's dann noch Dilletantismus ist und nicht dann doch eher Vorsatz.
0
ctismer
ctismer15.07.14 21:03
sierkb
Damit stimme ich weitgehend überein, bis auf die Vorsatzfrage.

Ich sehe nicht den Gewinn für Apple, wenn sie sich durch abhörfreundlich reduzierte
Sicherheit bei NSA lieb Kind machen. Google und Andere tun dies auch nicht
und setzen den Industriestandard ein. Warum sollte Apple darin zurückstehen?

Auf der anderen Seite, würde so eine schwächere Sicherheit von oben durchgedrückt,
dann doch sicher ungeachtet der Firma?

Insofern will sich mir das nicht erschliessen, und es gibt vermutlich zuviel fehlende
Bausteine, um durchzublicken.

Meine naive Alternative Erklärung:
Apple hatte die veraltete Mail-Security im Kasten als sie noch aktuell war, und jetzt
wegen des Konkurrenzdrucks erstmal diese Version aktiviert ohne Entwicklungsaufwand.
Dieser Schnellschuss wird beim nächsten Update korrigiert.

Ok ok, glaubhaft klingt das auch nicht
0
sierkb15.07.14 22:37
ctismer:
Ich sehe nicht den Gewinn für Apple, wenn sie sich durch abhörfreundlich reduzierte Sicherheit bei NSA lieb Kind machen.

Der Gewinn für Apple ist der US-Regierung bzw. den Geheimdienstbehörden egal. Da gibt es entsprechende Gesetzte, Verordnungen, Befugnisse, den Behörden entsprechende Zugriffsmöglichkeiten zur Verfügung zu stellen bzw. denen entsprechend entgegenzukommen. Und nach denen haben sich Unternehmen wie Apple zu richten und entsprechend Vorsorge zu treiben bzw. sich entsprechend einzurichten bzw. ihre Produkte entsprechend so vorzuhalten, dass das möglich ist und den Behörden Zugang nicht verwehrt wird. Ob es ihnen schmeckt oder nicht. Wenn sie es nicht tun, drohen ihnen empfindliche Strafen.
Google und Andere tun dies auch nicht und setzen den Industriestandard ein.

Genau da liegt doch der Hase im Pfeffer begraben, und das habe ich bereits skizziert: und wenn genau dieser Industristandard höchstselbst komprommittiert und von der NSA unterwandert ist? Genau das ist doch leider der Fall derzeit im Fall von so manchem bislang eingesetzten und als Industriestandard proklammierten Crypto-Standard! Die NSA hat ihn von innen heraus verwässert und ihn dann, mit entsprechenden Leuten im Abstimmgremium zum Industriestandard erheben und absegnen lassen, diesbzgl. warnende Stimmen wurden einfach ignoriert bzw. durch entsprechend gebriefte Leute überstimmt. Das ist doch die ganze Malaise derzeit – selbst sicher geglaubten Industriestandards kann man offenbar nicht mehr trauen, weil jahrelang ganz gezielt von der NSA nahestehenden Leuten unterwandert und so dermaßen mitbeeinflusst, dass eben am Ende etwas herauskam, das insgesamt weniger sicher ist und die NSA, weil sie selber dran mitgewirkt haben und die Schwachstellen genau kennen, da leichtes Spiel hat beim entschlüsseln. Genau deswegen werden derzeit verschiedene Krypto- und dafür notwendige Zufallsalgorithmen neu geschrieben – mit vorheriger Kontrolle, wer das schreibt bzw. vorheriger und gleichzeitig begleitender und nachheriger Sicherstellung, dass nun auch wirklich niemand auch nur annähernd, der damit betraut ist, in Verdacht steht, ein Mitarbeiter der NSA oder irgendeiner anderen Sicherheitsbehörde zu sein. Und auch die IETF als oberstes Standardisierungsgremium stellt sich diesbzgl. neu auf und führt diesbzgl. solche Kontrollen und mehrstufige Audits ein, damit sowas bloß nie wieder passiert, was da passiert ist.
Damit der sichere Algorithmus im Sinne aller Nutzer gewinnt und nicht die Geheimdienste.
0
Dekator
Dekator16.07.14 17:04
99% der Anwender? Das ist doch ein Witz; entweder hält sich da jmd. für zu außergewöhnlich oder ist schlicht anhnungslos. Bei Umfragen erweist sich, dass die Mehrheit der User weiß, dass E-Mails unsicher sind. WM-Gucken heißt nicht, dass man nicht Bescheid weiß. (Eher Tagesschau, Soaps + 'Reality-Shows').

Was nun die Zusammenarbeit von Apple mit NSA etc. angeht, so gibt es wohl Androhungen von Strafen falls nicht kooperiert wird. Wie aber aus einem jüngst vom 'Intercept' veröffentlichen Dokument hervorgeht, geht die Kooperation von IT/Telekomkonzernen weit über das geforderte hinaus. Überwachbarkeit zahlt sich aus, das gilt auch für Apple. Was Geld bringt, macht Apple auch.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.