efail – sichere E-Mailverschlüsselung mit gpg4o

Am 16. Mai 2018 haben die Veröffentlichung eines Forscherteams der Fachhochschule Münster zu den Efail genannten Lücken bei der E-Mailverschlüsselung und der Hinweis „OpenPGP und S/MIME sind geknackt“ für viel Wirbel gesorgt. Bei genauerer Betrachtung sind die bekannten Verschlüsselungsstandards jedoch keineswegs „geknackt“. Die in dem Bericht vorgeschlagenen Angriffe setzen mehrere Schritte zur Umsetzung voraus und hängen von dem Zusammenspiel des jeweiligen Mail-Clients und der Kryptobibliothek ab.

Wie ausführliche Tests unserer Entwickler gezeigt haben, ist unser E-Mailverschlüsselungs-Add-In gpg4o, das Microsoft Outlook um OpenPGP-Fähigkeiten ergänzt, nach wie vor sicher. Bei nur einer der beiden in Efail skizzierten Angriffe besteht ein sehr geringeres Risiko, und zwar nur im Zusammenspiel mit GnuPG Versionen der 1.4 Familie. Nutzer der GnuPG Versionen 2.1/2.2 sind geschützt.

Wer  auf Nummer sicher gehen möchte, kann den Umstieg auf die aktuelle GnuPG Familie 2.2 durchführen. Die letzte von gpg4o zertifizierte Version 2.2.4 kann hier (https://download.giepa.de/gnupg/gnupg-w32-2.2.4_20171220.exe) heruntergeladen werden

Für die Benutzer, die lieber bei der gewohnten GnuPG 1.4 Familie bleiben möchten, wird seit gestern eine gegen efail geschützte Version 5.3.1 über das automatische Update verteilt.

Zu Ihrer eigenen Sicherheit stellen Sie bitte sicher, dass Ihr PGP Kommunikationspartner ebenfalls über eine von efail nicht betroffene Verschlüsselungslösung verfügt.

Die Vertraulichkeit und Integrität der mit diesem Add-In ver- und entschlüsselten Daten haben bei Giegerich & Partner allerhöchste Priorität. Daher vertrauen weltweit tausende Kunden auf gpg4o. In einem stetigen Verbesserungsprozess wird Giegerich & Partner auch in zukünftigen Versionen alles daran setzen, diesen Schutz zu erhalten und wo immer nötig zu verbessern.