GPG Suite: Update schließt Sicherheitslücke in E-Mail-Verschlüsselung

06. Juni 2018 10:45 Uhr - Redaktion

Die Open-Source-basierte Verschlüsselungssoftware GPG Suite ist in der Version 2018.2 erschienen. Das Update behebt die EFAIL genannte Sicherheitslücke, durch die Angreifer Zugriff auf den Klartext verschlüsselter E-Mails erhalten können.

Die in GPG Suite 2018.2 implementierten Schutzmechanismen gelten für beide von EFAIL betroffenen Verschlüsselungstechniken (PGP und S/MIME), allerdings greifen sie momentan nur unter macOS High Sierra. Nach Angaben der Entwickler wird jedoch daran gearbeitet, die GPG Suite auch unter älteren Betriebssystemen gegen EFAIL abzusichern. Verschiedene Optimierungen und Bug-Fixes runden das Release ab.

 
GPGMail
GPGMail verschlüsselt E-Mails in Apple Mail.
Bild: gpgtools.org.

 

Zugleich wird Apple kritisiert: Eigentlich sollte Apple Mail im Rahmen des Updates auf macOS 10.13.5 gegen EFAIL bei Verwendung von S/MIME abgesichert werden – so schreibt es Apple jedenfalls in den Versionsanmerkungen. Doch nach Angaben der GPG-Suite-Macher sind Apples Schutzmechanismen unvollständig, sie würden nicht in jedem Fall greifen. Daher habe man in Eigenregie bei S/MIME nachgebessert, um GPG-Suite-Nutzer auch dann zu schützen, wenn statt PGP das S/MIME-Verfahren verwendet wird.

Die ab OS X Mavericks lauffähige GPG Suite ist eine Sammlung von Tools für die Datenverschlüsselung. Sie basiert auf dem Verschlüsselungsstandard OpenPGP und besteht unter anderem aus GPGMail (verschlüsselt E-Mails in Apple Mail), GPG Services (ermöglicht den Zugriff auf GPG-Funktionen in anderen Anwendungen) und GPG Keychain (zur Verwaltung von OpenPGP-Schlüsseln).

Die GPG Suite steht zwar unter einer Open-Source-Lizenz, für die Nutzung von GPGMail soll jedoch in Zukunft eine kleine Gebühr fällig werden. Die Entwickler wollen damit die Weiterentwicklung sicherstellen, schneller Updates liefern und den Anwender-Support verbessern.