RC4-Verfahren

Apple verschlüsselt iCloud-E-Mails

Vor genau einem Monat hatte Apple angekündigt, beim E-Maildienst iCloud auf eine verschlüsselte Übertragung zwischen iCloud-Mail und Fremdaccounts standardmäßig anbieten zu wollen - und nun ist es soweit. Die Transportwegverschlüsselung für ein- und ausgehende E-Mails von me.com-, mac.com- und icloud.com-Adressen zu Anbietern, die die Verschlüsselung ebenfalls nutzen, ist für alle Kunden bereitgestellt worden. Allerdings bemängeln Experten bereits die eingesetzte Technik, die angeblich von der NSA in Echtzeit entschlüsselt werden kann. 

Von   Uhr

Nun bietet Apple endlich auch eine Ende-zu-Ende-Verschlüsselung von E-Mails, die zwischen dem iCloud-Dienst und Drittanbietern hin- und her gesendet werden. Bislang hatte Apple lediglich eine Transportwegverschlüsselung implementiert, wenn me.com-, mac.com- und icloud.com-Nutzer unter einander kommunizierten.

Was auf den ersten Blick gut aussieht, ist aber beim genaueren hinsehen ein klein wenig ein Mogelpaket: Denn Apple setzt auf Technologien, die dem Nutzer nur eine trügerische Sicherheit eröffnen.

Kritik

Heise Security kritisiert das eingesetzte Verschlüsselungsverfahren RC4 deutlich: „So erfreulich es ist, dass auch Apple endlich den Mail-Versand im Internet durch Verschlüsselung gegen die real stattfindende Massenüberwachung abschirmt, so fragwürdig sind die eingesetzten Verfahren. Nicht nur, dass Apple weit hinter den bei der Konkurrenz längst selbstverständlichen Standards zurückfällt. Dass der Konzern dabei mit RC4 ausgerechnet das Verfahren bevorzugt, von dem Insider behaupten, die NSA könne es bereits in Echtzeit dechiffrieren, hinterlässt einen sehr schalen Beigeschmack.“

RC4 ist ein schnelles Verfahren, aber alles andere als sicher. Bereits 2001 wurden die ersten Angriffszenarien bewiesen.

Problematisch ist unter anderem, dass die Zufallsströme im RC4-Verfahren gar nicht zufällig sind, sondern errechnet werden können. Damit wird der nachträglichen Entschlüsselung Tür und Tor geöffnet.

Dazu kommt, dass das Verfahren die Kommunikation mit vermeintlich besser gesicherten Accounts etwa über AES ausschließt. Ist der Empfänger- oder Sender-Account per AES verschlüsselt, kommt gar keine Transportwegverschlüsselung zu Stande.

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Apple verschlüsselt iCloud-E-Mails" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Apple verschlüsselt und hat den Schlüssel in der eigenen Tasche - aber der dumme Apfel-Jünger denkt, seine Daten wären sicher.

Wo sind die das überhaupt? Es geht doch nur noch selber hosten/administrieren. Und? Wer macht das alles?

Ich. Nutze Debian und verschlüssele ausschließlich lokal mit OpenSource Software - einem US Unternehmen kann ich einfach kein Vertrauen entgegen bringen.
Wo die verschlüsselten Daten dann abgelegt werden, ist eigentlich egal. Da kommt ohnehin keiner ran- eine vernünftig gewählte Passphrase vorausgesetzt.

Selbst verschlüsseln geht überall. Auch bei Apple.

"Nun bietet Apple endlich auch eine Ende-zu-Ende-Verschlüsselung von E-Mails...."
Stimmt Nicht! Von einer Ende-zu-Ende-Verschlüsselung ist nie die Rede gewesen! Es geht nur um die Verschlüsselung des Transportweges von Email-Server zu Email-Server.

Ganz genau. End-to-End ist etwas völlig anderes und jedem muss endlich mal klargemacht werden, dass eine richtige End-to-End Verschlüsselung nur möglich ist wenn der User selbst sich darum kümmert.
Wie bei jeder Sicherheitstechnik bedeutet dies einen kleinen Verlust an Komfort.

Verschlüsselung ist besser als keine. Wer in einem öffentlichen WLAN unterwegs ist, profitiert. Sicherheit gegenüber Geheimdiensten? Nein! Lustig wenn Androiden von doofen Apple Jüngern sprechen, selbst aber ihre kompletten Daten Google zur Nutzung heute, morgen und übermorgen überlassen. Das selbe mit FB etc. Klar Google ist super, die Verkaufen meine Daten nie!

Die Kommentare für diesen Artikel sind geschlossen.