Apple bessert bei der Verschlüsselung des iCloud-Mailversands nach

Trackbacks

Kommentare

Trackbacks

Kommentare

Kommentar schreiben

Unilife am Freitag, 18. Juli 2014:

WGS am Freitag, 18. Juli 2014:

Rolf am Samstag, 19. Juli 2014:

RingoRingli am Samstag, 19. Juli 2014:

Geschrieben von Florian Schimanke am Freitag, 18. Juli 2014

Lange Zeit waren die Mails, die zwischen zwei iCloud-Accounts verschickt wurden, zwar verschlüsselt, dies galt jedoch nicht für den Mail-Verkehr zwischen iCloud und anderen Mail-Anbietern. Für diesen Umstand hat Apple (zu Recht) eine Menge Kritik eingesteckt und vor einigen Tagen dann endlich damit begonnen, auch diese Kommunikation verschlüsseln. Auch dies rief allerdings Kritik hervor. Der Grund war, dass Apple die eingesetzte Verschlüsselung nach dem RC4-Algorithmus alles andere als sicher gilt. Unter anderem hatte heise.de hierauf medienwirksam aufmerksam gemacht. Und dies zeigte offenbar Wirkung. Inzwischen wurden zumindest die Eingangs-Server von iCloud-Mail auf den deutlich sichereren Standard AES mit 256 Bit und Forward Secrecy (ECDHE-RSA-AES256-SHA) umgestellt. Offen ist damit lediglich noch die Anhebung von TLS 1.0 auf die aktuelle Version 1.2, was jedoch mit größeren Maßnahmen einhergehen dürfte. Zudem laufen aktuell auch noch die IMAP- und die Postausgangsserver unter dem verhältnismäßig simpel zu knackenden RC4-Algorithmus. Hier muss Apple also weiter Hand anlegen. Die Umstellungen der vergangenen Tage zeigen jedoch bereits, dass man hier offenbar an der Arbeit ist. Anzumerken ist jedoch, dass auch hiermit keine Ende-zu-Ende-Verschlüsselung, wie etwa mit PGP möglich ist. Hierauf muss letzten Endes jeder Nutzer selber achten. Die oben angesprochenen Grundvoraussetzungen zum verschlüsselten Versand sollten aber zumindest auf Providerseite geschaffen werden. (via heise.de, mit Dank an Bernd!)

Trackback-URL für diesen Eintrag

Keine Trackbacks

Ansicht der Kommentare: Linear | Verschachtelt

Der sichere E-Mail Versand gehört zu den Aufgaben der Anbieter und nicht ausschließlich zu den Aufgaben der Anwender.

Das ist der Punkt. Das Post- , Brief- und Telefongeheimnis ist auch im Verantwortungsbereich de Anbieter und nicht der Nutzer.
Gerade das Briefgeheimnis ist da ein Paradebeispiel.

Naja, wenn ICH verschlüsseln will, muss ICH mich drum kümmern. Das Leben ist unbequem, Verschlüsselung auch und S/MIME und PGP sind erfunden. Man muss sich ja nicht gleich einen eigenen Mailserver mit TLS aufsetzen, aber gerade im Mac und i-Devices nen S/MIME-Key importieren, einfacher ist echt schwer. Und statt für Spiele mal ein paar Euro für den Key ausgeben ist auch mal ok.

Ich glaube hier darf das berühmte Beispiel mit der Postkarte in den Ring geworfen werden. Die Post hat eine Palette von Angeboten. Von der Postkarte, bis zum extra versicherten Edelmetallversand uvm. Wenn wir nicht wollen, dass die offene Postkarte gelesen und relativ ungesichert von A nach B zwischengeparkt wird, dann müssen wir aktiv werden und ein dementsprechend gesicherteres Angebot einkaufen. Wobei ich hier schon der Aktive bin - sein muss.

Was will ich aber eigentlich damit sagen? Das Gesetzt regelt erstmal nur, dass es verboten ist Informationen abzuzweigen oder sonstwie als unbefugter daran Teil zu nehmen. Dabei gilt nach der Rechtsprechung des Bundesverfassungsgerichts, dass die Daten nach dem Abschluss des Kommunikationsvorgangs nicht mehr in den Schutzbereich des Fernmeldegeheimnisses fallen. "Die Daten sind dann in den Herrschaftsbereich des Teilnehmers übergegangen..." schreibt zB Wiki, wer nachschauen möchte.

Ab wann fallen jetzt meine Daten in meinen Herrschaftsbereich und ist der Anbieter automatisch verpflichtet mir immer das modernste Sicherheitssystem um meine Daten zu schnüren, um im Bild zu bleiben?

Korrigiert mich bitte wenn ich falsch liege, aber ich sehe nur, dass der Anbieter verpflichtet ist mir eine Produktpalette von "Verpackungs- und Transportoptionen" anzubieten, welche ich dann aber aktiv in Auftrag geben oder zumindest selbst ausführen muss. Eine Anhebung der der Mindessicherheitstanforderungen ist doch bekannter Weise immer ein nachjustieren nach größeren Kolateralschäden bzw. wenn es anfängt Geld zu kosten.
Mache ich im Privatleben übrigens auch so, immer wieder kümmre ich mich erst, wenn es weh tut ;)

Oktober '25