Die E-Mail Dienste
ProtonMail (Schweiz),
unseen.is (Island),
SCRYPTmail (early Beta), und
Tutanota (Deutschland) stellen einfache Nutzung von Verschlüsselung ("DAU-kompatibel" im Nerd-Slang) sowie Kompatibilität mit den gängigen E-Mail Protokollen in den Vordergrund und bemühen sich (im Rahmen der Möglichkeiten) um Schutz gegen staatlichen Zugriff.
Das Schreiben und Lesen von E-Mails erfolgt ausschließlich im Webinterface im Browser, ein E-Mail Client wie Thunderbird kann nicht verwendet werden. Das ermöglicht eine einfach nutzbare Verschlüsselung der Inhalte der E-Mails mit einer Krypto-Implementierung in Javascript im Browser, hat aber auch Nachteile.
Vorteile gegenüber Web.de, GMX.de, GMail.com u.a.
ProtonMail,
unseen.is und
Tutanota bieten viele Vorteile für Normalanwender, die Ihre E-Mails bisher im Webinterface von GMail, Yahoo! oder Hotmail bearbeiten.
- Die Provider respektieren die Privatsphäre der Nutzer, schnüffeln nicht in den Mails rum, geben keine Daten weiter und beobachten die Nutzer nicht beim Lesen von Newslettern.
- Die Provider bieten einen einfachen Zugang zur E-Mail Verschlüsselung für nicht-IT affine Nutzer. Man muss sich nur wenig mit der Verschlüsselung beschäftigen, um sie in der Praxis einsetzen zu können.
- Auch auf dem Smartphone ist verschlüsselte Kommunikation via E-Mail nutzbar. Tutanota und Protonmail bieten passende Apps an:
- Die SSL/TLS-Verschlüsselung für die Webseiten wird vom Qualsys SSL Server Test mit A+ bewertet. Tutanota unterstützt auch DANE/TLSA zur Verbesserung der Sicherheit der Transportverschlüsselung.
- Die Daten werden verschlüsselt auf den Servern abgelegt. die Betreiber werben damit, dass sie keinen Zugriff auf den Klartext der Kommunikation haben. Die Kommunikation mit Partnern innerhalb des Dienstes ist automatisch Ende-zu-Ende verschlüsselt.
Am besten kommen die Vorteile zur Geltung, wenn alle Kommunikationspartner einen Account bei
ProtonMail,
unseen.is bzw.
Tutanota haben.
Nachteile gegenüber Thunderbird+OpenPGP in Kombination mit einem empfohlenen Mailprovider
Konzeptionell bedingt haben
ProtonMail,
unseen.is und
Tutanota einige Schwächen. Die Verschlüsselung bietet "hinreichende" Sicherheit und ist für hohe Sicherheitsansprüche nicht geeignet.
- Javascript ist für die Implementierung starker Kryptografie nur bedingt geeignet. Javascript wurde nicht als Programmiersprache für Krypto-Anwendungen entworfen. Best Practices für die Implementierung von Krypto sind mit Javascript nicht umsetzbar.
- Javascript bietet keine Möglichkeiten, bei der Programmierung identische Ausführungszeiten für Code Verzweigungen zu erzwingen. Durch Seitenkanalangriffe ist es damit möglich, die Reihenfolge der Nullen und Einsen im privaten Schlüssel durch Beobachtung bei der Codeausführung zu rekonstruieren. In modernen Krypto-Bibliotheken ist das ein Securitybug (z.B. CVE-2016-7056 ECDSA P-256 timing attack key recovery, OpenSSL).
Seitenkanalangriffe auf Browser sind einfach, da der Rechner nicht kompromittiert werden muss. Das Script für den Angriff kann von einer beliebigen Webseite geladen werden, wie Forscher in The Spy in the Sandbox -- Practical Cache Attacks in Javascript (PDF) gezeigt haben.
- Mit Javascript ist es nicht möglich, einen geheimen Schlüssel nach der Benutzung aus dem Hauptspeicher zu löschen (Overwriting memory - why?). Das normale Verhalten von Mailvelope wurde bei Tor Onion Router als Security Bug eingestuft.
- Webanwendungen bieten mehr Angriffsmöglichkeiten auf die Verschlüsselung als lokal installierte Tools. Thomas Roth demonstrierte in dem Video Hacking protonmail - with a browser, wie man die Verschlüsselung von ProtonMail mit einfachen XSS-Hacks angreifen konnte. Die Lücken sind inzwischen beseitigt, vergleichbare Probleme hätte es bei Thunderbird aber nie geben können.
- Die Schlüssel werden im HTML5 Storage des Browsers gespeichert und sind somit leichter angreifbar. Im HTML5 Security Cheat Sheet wird vom OWASP empfohlen, keine sensitiven Informationen im HTML5 Storage des Browsers zu speichern, da diese Daten z.B. mit XSS-Angriffen kompromittiert werden könnten.
- Die alternative Nutzung starker Kryptografie wie OpenPGP oder S/MIME ist bei einigen der oben genannten Dienste nicht möglich, auch wenn der Kommunikationspartner dazu in Lage wäre.
- Der Code für die Verschlüsselung wird durch die Webanwendung beim Aufruf der Webseite geladen oder aktualisert. Außerdem werden die Schlüssel der Empfänger bei Bedarf vom Server geladen. Dieses Konzept nennt man "Server-basierte Kryptografie". (Es ist damit nicht "Server-basierte Verschlüsselung" gemeint!) Das Konzept ist nicht neu. Es wurde bereits von Hushmail und Countermail eingesetzt (mit Java statt Javascript) oder von Cryptocat (für Chats) und die Kritiken an diesem Konzept lassen sich auch für die oben genannten Dienste E-Mail übernehmen.
- Die Server-basierte Kryptografie von Hushmail wurde bereits 2007 von der US Drogenbehörde DEA kompromittiert. Hushmail wurde gezwungen, die E-Mails von mehreren Accounts entschlüsselt bereitzustellen und musste der Aufforderungen nachkommen. Auch alle oben genannten Dienste könnten die Verschlüsselung unbemerkt kompromittieren, wenn sie es für staatliche Behörden tun müssten.
- Server-basierte Kryptografie ist für hohe Sicherheitsansprüche politischer Aktivisten o.ä. generell nicht geeignet wie Patrick Ball in einem Essay bei Wired am Beispiel von Cryptocat ausführlich dargelegt.
Tutanota und ProtonMail bieten inzwischen Apps für Android und iPhones an, die den Code für die Verschlüsselung enthalten und aus den Appstores installiert werden können können. Damit enfällt diese Schwäche für Smartphone Nutzer. Auf dem Desktop PC kann man die Software von Tutatnota von Github auschecken und lokal installieren. Auch das schützt gegen Angriffe, ist allerdings deutlich komplizierter, als OpenPGP zur E-Mail Verschlüsselung zu nutzen.
DDOS-Angriff auf Protonmail im Nov. 2015
Im November 2015 wurde
Protonmail mit DDOS-Angriffen lahm gelegt. Das bemerkenswerte an diesem Vorfall ist die zweifache Angriffswelle:
- Zuerst wurde Protonmail von der Hackergruppe Armada Collective angriffen, die Lösegeld in Bitcoins forderte. Protonmail hat das Lösegeld gezahlt.
- Die zweite, wesentlich stärkere Angriffswelle erfolgte von unbekannten Angreifern, die Protonmail nie kontaktierten und keine Forderungen stellten. Protonmail selbst vermutet einen Angreifer mit staatlicher Unterstützung:
The second group caused the vast majority of the damage, including the downing of the datacenter and crippling of upstream ISPs, exhibiting capabilities more commonly possessed by state-sponsored actors.
Die Angriffe wurden eingestellt, nachdem Protonmail das generöse Schutz-Angebot der israelischen Firma "Bynet Data Communications" angenommen hatte.
Der Datenverkehr von Protonmail wird seit November über das israelische Datacenter von "Bynet Data Communications" geleitet, wie man bei
Cryptome.org nachlesen und selbst mit
"traceroute" überprüfen kann.
Now the "Switzerland" based privacy firm is proxied by an Israeli firm for traffic analysis, network exploitation of users, cryptographic monkeying. Israeli expertise in the latter is unmatched. Classic gov-mil cyber op with great PR happy ending for exploited asset.