Enigmail sendet ‘verschlüsselte’ Mails im Klartext

Ein fataler Fehler innerhalb der Thunderbird-Erweiterung Enigmail kann dazu führen, dass E-Mails, die verschlüsselt werden sollen, im Klartext versendet werden. Jeder, der sich auf den Datenschutz verlässt und vertrauliche oder gar geheime Informationen sendet, riskiert, dass die E-Mails von Dritten gelesen werden können.


Anzeige

Der Bug ist der Redaktion von heise.de beim Schreiben eines Artikels zu Enigmail aufgefallen, wie man hier berichtet. Der Fehler befindet sich im sogenannten Junior-Modus, der nach der Enigmail-Installation standardmäßig aktiv ist. In diesem Modus wird die Verschlüsselungsmethode Pretty Easy Privacy (pEp) verwendet, um die E-Mail-Verschlüsselung zu vereinfachen und für jeden nutzbar zu machen. Es entlastet den Anwender von allen Setup-Schritten und nutzt das bewährte OpenPGP im Hintergrund. pEp wurde im Frühjahr 2018 in Enigmail integriert.

Der heise.de-Redaktion fiel beim Schreiben eines Artikels auf,  dass es einen fatalen Fehler in der Windows-Version gibt. Das Problem ist, dass Enigmail beim Senden einer E-Mail vorschlägt, dass die Verschlüsselung aktiv ist, die Nachricht aber tatsächlich im Klartext gesendet wird.

Eine Statusmeldung am unteren Rand des Mail-Editors zeigt zwar an, ob eine Verschlüsselung verwendet wird. Wenn es heißt "Datenschutzstatus: Secure" oder "Secure & Familiar", dann sollte die Mail end-to-end verschlüsselt übertragen werden. Dies ist jedoch aktuell nicht der Fall – die Nachricht wird unverschlüsselt im Klartext gesendet.

Mit dem aktuellen Thunderbird 60 und der ebenfalls aktuellen Enigmail-Version 2.0.8 konnte heise.de das Problem unter Windows mehrfach zuverlässig reproduzieren. Verschlüsselte Mails konnten in keinem Fall im Junior-Modus versendet werden. Die Empfehlung lautet also: Verwenden Sie Enigmail nicht im Junior-Modus, um verschlüsselte E-Mails zu versenden. Die Enigmail-Entwickler haben diesen Blog-Post mit weiteren Details und einem Workaround veröffentlicht.

The editors at heise.de recognized during writing an article about Enigmail for the print magazine, that there is a fatal bug in the Windows version. The problem is that when sending a mail, Enigmail suggests that encryption is active, but that the message is actually sent in plain text.

A status message at the bottom of the mail editor indicates whether encryption is used. If it says "Privacy status: Secure" or "Secure & Familiar", then there should be no doubt that the currently written mail is transmitted end-to-end encrypted. However, this is currently a fallacy – the message is sent in unencrypted in plain text.

heise.de was able to reproduce the issue several times reliably under Windows with the current Thunderbird 60 and the likewise current Enigmail version 2.0.8. Encrypted mails could not be sent in junior mode in any case. So the recommendation is: Don't use Enigmail in Junior modus to send encrypted mails. The Enigmail developers has published this blog post with more details and a workaround. This isn't the first fail, as you can read here.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Mail, Sicherheit, Thunderbird abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Enigmail sendet ‘verschlüsselte’ Mails im Klartext

  1. Der Junior Modus sollte eigentlich mit dem Pretty Easy Privacy p≡p-Foundation plug in das Verschlüsseln von Emails erleichtern, was jedoch nur dazu geführt hat dass das Plug in zwar meldete die Mail sein verschlüsselt aber dann unverschlüsselt versendete.
    Das Trägt natürlich nicht zu vertrauen der User bei, hat ja leider auch ein bisschen gedauert (Die pEp-Entwickler haben nun vorübergehend die alte pEp-Version 1.0.8 aus dem Frühjahr als aktuell deklariert) um das Problem zu entdecken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.