Apple verschlüsselt jetzt auch – mehr oder weniger
Nachdem alle E-Mail-Provider ihren Nutzern bereits seit langem verschlüsselten E-Mail-Verkehr anbieten, zog Apple jetzt auch endlich nach.
Heise Security kritisierte Apple im Februar dafür, dass der E-Mail-Versand bei iCloud unverschlüsselt sei. Im Juni versprach Apple dann Updates und Verbesserungen. Nun ist dies endlich geschehen: Die Transportverschlüsselung ist nun auch für iCloud standardmäßig aktiviert.
Für den E-Mail-Verkehr werden SMTP-Server genutzt. Diese ermöglichen eine optionale Verschlüsselung mit StartTLS, was bei fast allen Providern Standard ist. Bis vor wenigen Wochen lieferte Apple allerdings alle E-Mails unverschlüsselt. E-Mails an bestimmte Adressen von Apple wurden sogar unverschlüsselt versandt.
In Zeiten von Massenüberwachung der elektronischen Kommunikation wundert das und verstärkt Verdachtsmomente gegen den Konzern. Lässt Apple Behörden großflächig mitlesen?
Inzwischen hat Apple nachgezogen und in einem ersten Schritt das RC4-Verfahren zur Verschlüsselung genutzt. Zwar war es erfreulich, dass die Verschlüsselung nun Standard ist. Aber das RC4-Verfahren steht im Verdacht, dass es bereits in Echtzeit von der NSA dechiffriert werden kann. Ernst gemeinter Schutz sieht anders aus.
Als Alternative zu RC4 kam Triple-DES zum Einsatz, was aus 112 Bit langen Schlüsseln besteht. Auch das ist nicht mehr ausreichend. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rät von der Verwendung ab.
Nach erneuter Kritik besserte Apple zügiger nach. Zwei Tage später beherrschte iCloud nun auch die Verschlüsselung mit AES mit 256 Bit und Forward Secrecy. Zwar läuft es noch nicht mit dem aktuellen TLS 1.2, aber dazu muss vermutlich erst noch das ganze Betriebssystem aktualisiert werden. Dennoch ist dies schon einmal ein Anfang.
An vielen Stellen wird weiterhin das fragwürdige RC4-Verfahren genutzt, hier ist Apple weiterhin gefordert.
Eine gute Transportverschlüsselung schützt die Nutzer vor dem Mithören Unberechtigter. Jetzt können diese immer noch sehen, wer wann mit wem und wie oft kommuniziert. Mit einer echten Transportverschlüsselung wird dies wesentlich erschwert. Wenn Apple es mit dem Datenschutz seiner Nutzer ernst meint, sollten noch weitere Maßnahmen getroffen werden.
Artikel von heise.de, 17.07.2014: Kaum eingeführt, schon umgestellt: Apple verbessert iCloud-Mail-Verschlüsselung
Artikel von heise.de, 15.07.2014: iCloud-Mail-Versand jetzt auch verschlüsselt