Nieuws
image

Enigmail OpenPGP-extensie versleutelde BCC-mails niet

dinsdag 9 september 2014, 10:38 door Redactie, 4 reacties

Een bug in de Enigmail OpenPGP-extensie voor Mozilla Thunderbird zorgde ervoor dat een versleutelde e-mail waarbij de ontvanger als BCC was ingesteld niet werd versleuteld. Een e-mail met alleen een BCC-ontvanger of ontvangers werd onversleuteld verstuurd, zo laat ontwikkelaar Nicolai Josuttis weten.

Het probleem speelde in Enigmail versie 1.7 en is in versie 1.7.2 verholpen. Een aanvaller die het netwerkverkeer kon afluisteren kon zo de inhoud van de e-mails onderscheppen en lezen, terwijl de afzender ervan uitging dat het bericht was versleuteld, zo stelt het Computer Incident Repsonse Center Luxembourg (CIRCL). Enigmail is een add-on waarmee Thunderbird-gebruikers hun e-mails kunnen versleutelen.

Gebruikers op het Enigmail-forum zijn niet over de beveiligingsmisser te spreken. "Het is niet te geloven dat er nog geen officiële bevestiging van dit probleem is", aldus een gebruiker vorige maand. "Het is moeilijk een nog ergere beveiligingsblunder voor te stellen, tenzij Enigmail stilletjes mijn geheime sleutels met de uitgaande mail meestuurt."

Een andere gebruiker stelt dat het maar goed is dat hij een computerwetenschapper is. "Als serieuze gebruiker, dissident, klokkenluider, diplomaat of militaire gebruiker, zou ik nu op de bad guys wachten die me komen waterboarden." Enigmail 1.7.2 is sinds 29 augustus te downloaden.

Reacties (4)
09-09-2014, 11:05 door [Account Verwijderd]
[Verwijderd]
09-09-2014, 12:25 door Anoniem
Door Picasa3: Fraai dit. Je wilt iets versleutelen en het komt onversleuteld aan!
Zoals men in de volksmond al zegt:
"BCC! High service, low... ehhhhhm...
09-09-2014, 13:03 door Army
Er is zoveel mis met Enigmail dat het gewoon niet bruikbaar is.
10-09-2014, 09:52 door Anoniem
Door Army: Er is zoveel mis met Enigmail dat het gewoon niet bruikbaar is.
Ayup. Helaas zijn er weinig alternatieven. Of liever, de software hier is OHA nog veel te ongepolijst om bruikbaar te zijn voor niet-technische gebruikers.

Toen ik laatst sylpheed op een (64bits) windows probeerde te gebruiken deed de ingebouwde gpg-ondersteuning het niet, omdat de programmabibliotheek* die gpg moest aanroepen gpg niet kon vinden... want het stond in een ander pad dan verwacht. Standaardinstallatie maar iets met 32bit door windows toegevoegd in de foldernaam, je kent het wel. En de omgevingsvariabele die daar soelaas had kunnen bieden was er voor windows uitgesloopt omdat'ie "geen zin" zou hebben. Welnu, toen had heel die programmabibliotheek geen zin meer. Gefeliciteerd hoor, programmabibliotheekschrijvert.

Maargoed, enigmail is ook wel redelijk stuitend, en niet alleen vanwege dit probleem.


* Door een andere auteur geschreven, dus niet de schuld van de maker van sylpheed.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure