Am Morgen des 13. Mai fuhr ich mit der U-Bahn zur Arbeit, habe meine Feeds durchgelesen und sah dabei einen Teaser der EFF, der klang als wäre PGP gebrochen. Nach ein paar Stunden heller Aufregung in sämtlichen Blogs und MUCs ging die Seite Efail online, deren Launch erst für den nächsten Tag vorgesehen war.
Im Endeffekt war die Enthüllung immer noch ein schwerwiegender Sicherheitsfehler, der ermöglichte, dass verschlüsselte Nachrichten unter Umständen geleakt werden können, aber im Vergleich zur Panik, die die EFF geschürt hatte nur halb so wild.
Da die CVEs schon 2017 angelegt wurden, waren die Sicherheitslücken auch schon länger bekannt (klar, ein schönes Logo braucht Zeit auch wenn man zu zweit daran arbeitet /sarcasm), warum die EFF dann nicht den einen Tag bis zum geplanten Veröffentlichungstermin warten konnte, sondern unnötige Panikmache mit zweifelhaften Empfehlungen (Deinstalliert PGP und nutzt Signal (sic!)) betrieb ist für mich nicht nachzuvollziehen. Dementsprechend teile ich die Aussage eines heise-Kommentars: Efail ist ein EFFail.
Anstatt das Fehlverhalten einiger Clients/Implementierungen zu diskutieren wurde viel Spott und Häme über Efail (EFFail!) laut, da die Ankündigung der EFF schlimmeres vermuten ließ.
Heute haben sich die PGP Entwickler zum EFFail geäußert und rücken meiner Meinung nach die Dinge wieder zurecht. Statt seltsamer Empfehlungen der EFF (Kein PGP, nehmt Signal) zu folgen sollte man darauf achten Email-Programme ordentlich zu konfigurieren (HTML-Emails wtf?) und aktuelle, sichere Implementierungen zu nutzen. Die Empfehlung der EFF wird folgendermaßen kommentiert:
Some locks can be broken; therefore we must remove all doors
Genau, wenn unter bestimmten Umständen PGP gebrochen werden kann verzichten wir lieber auf verschlüsselte E-Mails und nutzen ein Silo namens Signal, das zwingend eine Telefonnummer benötigt. 🙈