Androids K9 Mail nutzt noch TLS 1.0

Au man, man darf echt nicht nachsehen, was seine Programme so tun ­čÖü

K9-Mail

Das auf Android beliebte K9-Mail setzt auch gebrochene Krypto und nur als Beispiel erdachte Cipher!

2018-05-07 08:52:17 1fFa0M-0004M4-PW <= AAAAAAAAAAAAAAA H=********.dip0.t-ipconnect.de (XXXXX) [XXXXX] P=esmtpsa X=TLSv1:AES128-SHA:128 CV=no … id=1baxr95b3gdd6225t9ggj1yy.1525675936562@email.android.com

Das 146 MB gro├če Paket enth├Ąlt allen Anscheins nach nicht mal eine aktuelle SSL Implementierung. Schlimmer w├Ąre es nur noch, wenn Sie das an Android outsourcen w├╝rden, aber wof├╝r dann die 146 MB ? Im Programm ist nur eine „gr├Â├čere“ Grafik enthalten , der Rest ist pillepalle und ansonsten auch recht trivial von der Funktion her.

F├╝r ein „Advanced Email for Android“ Programm echt entt├Ąuschend ­čÖü

Mal sehen ob Sie antworten ­čśÇ

Webseite: https://k9mail.github.io/

gebrochene Verschl├╝sselung: internet-sicherheit.de

Aus der Kategorie „Sachen zum Lachen“:

HEUTE

Das if(is) – Institut f├╝r Internet-Sicherheit,Westf├Ąlische Hochschule, Gelsenkirchen“

in

„Das if(is) gibt zusammen mit dem Bundesministerium f├╝r
Wirtschaft und Energie (BMWi) einen IT-Verschl├╝sselungs Kompass heraus“

Das ist passiert:

Das If(is) ( ob das mit den Klammern so gewollt war ??? ) hat zusammen mit dem BMWi und einer Consulting Firma einen Ratgeber f├╝r den „Mittelstand“ zum Thema „Einsatz von Verschl├╝sselung“ herausgegeben. Klang erstmal gut, weil das Thema recht komplex sein kann. Bei genaueren Hinsehen, und wenn ich das mit Hinweis hierauf : Mailserver – Gebrochenes TLS im Einsatz noch mal betonen darf, „genau hinsehen ist eine so dumme Idee“, aber leider kann ich diese schlechte Angewohnheit nicht ablegen, entbl├Â├čt sich dieser Kompass weniger als Kompass, denn mehr als Nadel ohne magnetischen Inhalt ­čśÇ

Gl├╝cklicherweise gibt der Kompass selbst dieses Motto ├╝ber sich aus :

Dieses Dokument soll Unternehmen als Orientierung dienen, an welchen Stellen eine Verschl├╝sselung
sinnvoll ist und welche M├Âglichkeiten der Umsetzung zur Verf├╝gung stehen.“ ( Seite 6 )

Dieser Eigenbeschreibung wird das Dokument gerecht, aber so ganz ergeben einige Tabellen keinen Sinn. Aber damit wollen wir uns nicht weiter belasten ­čÖé

Auf Seite 7 hei├čt es dort „Eine versendete E-Mail erf├╝llt somit keine IT-Sicherheitseigenschaften zum Schutz vor Einbli-
cken durch Dritte.“ und „81 Prozent der Unternehmen sind lt. BVDW in Deutschland bereits jetzt der Meinung, dass die Sicherheit der E-Mail-Kommunikation stark verbesserungsw├╝rdig ist.“ (BVDW k├Ânnte wohl Bundesverband der deutschen Wirtschaft lauten)

Ja, an sich k├Ânnte man dem zustimmen. Solange es Leute wie das if(is) gibt, die 10 Jahre alte Verschl├╝sselungstechniken einsetzen, ist das Medium auch wirklich unsicher. Wie jetzt, Ihr glaubt nicht, da├č ein Zitat(http://www.internet-sicherheit.de) :

„Institut f├╝r Internet-Sicherheit

f├╝r mehr Vertrauensw├╝rdigkeit und IT-Sicherheit“

unsichere Verschl├╝sselung einsetzt ??? .. ok, das k├Ânnen wir ├Ąndern… B├╝dde sch├Ân … der Beweis*:

Checking a@internet-sicherheit.de:looking up MX hosts on domain „internet-sicherheit.de“

  1. smtp.internet-sicherheit.de (preference:10)

Trying TLS on smtp.internet-sicherheit.de[194.94.127.56] (10):

secondstest stage and result
[000.093]Connected to server
[000.325]<–220 smtp.internet-sicherheit.de ESMTP
[000.325]We are allowed to connect
[000.325] –>EHLO checktls.com
[000.419]<–250-smtp.internet-sicherheit.de
250-PIPELINING
250-SIZE 104857600
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.419]We can use this server
[000.420]TLS is an option on this server
[000.420] –>STARTTLS
[000.512]<–220 2.0.0 Ready to start TLS
[000.512]STARTTLS command works on this server
[000.809]Connection converted to SSL
SSLVersion in use: TLSv1
Cipher in use: DHE-RSA-AES256-SHA
Certificate 1 of 3 in chain: Cert VALIDATED: ok
Cert Hostname VERIFIED (smtp.internet-sicherheit.de = smtp.internet-sicherheit.de | DNS:smtp.internet-sicherheit.de | DNS:smtp2.internet-sicherheit.de)
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=03:af:98:64:78:06:6f:ae:36:a9:04:e1:d8:9f:65:8f:d8:14
subject= /CN=smtp.internet-sicherheit.de
issuer= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
Certificate 2 of 3 in chain: Cert VALIDATED: ok
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=0a:01:41:42:00:00:01:53:85:73:6a:0b:85:ec:a7:08
subject= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
Certificate 3 of 3 in chain: Cert VALIDATED: ok
serialNumber=44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b
subject= /O=Digital Signature Trust Co./CN=DST Root CA X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
[001.254] ~~>EHLO checktls.com
[001.350]<~~250-smtp.internet-sicherheit.de
250-PIPELINING
250-SIZE 104857600
250-ETRN
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[001.351]TLS successfully started on this server
[001.351] ~~>MAIL FROM:
[001.460]<~~250 2.1.0 Ok
[001.461]Sender is OK
[004.645] ~~>QUIT
[004.738]<~~221 2.0.0 Bye

*) Getestet am 27.2.2018 um 11:30 Uhr

Der Bericht ist leicht gek├╝rzt. Wer den in G├Ąnze sehen will, kann es bei checktls.com selbst pr├╝fen.

Das ist fast schon peinlicher als beim BSI. Naja, eigentlich nicht, ist der gleiche Level.

Interessanterweise, kann der Mailserver der Westf├Ąlischen Hochschule, die das Angebot vom if(is) technisch laut Whois betreut, TLS 1.2 . Da fragt man sich, wie das wohl passiert ist ­čÖé

Trying TLS on mail1.w-hs.de[194.95.250.90] (10):

secondstest stage and result
[000.110]Connected to server
[000.679]<–220 mail1.w-hs.de ESMTP
[000.680]We are allowed to connect
[000.680] –>EHLO checktls.com
[000.790]<–250-mail1.w-hs.de
250-8BITMIME
250-SIZE 41943040
250 STARTTLS
[000.791]We can use this server
[000.791]TLS is an option on this server
[000.791] –>STARTTLS
[000.900]<–220 Go ahead with TLS
[000.900]STARTTLS command works on this server
[001.260]Connection converted to SSL
SSLVersion in use: TLSv1_2
Cipher in use: DHE-RSA-AES128-GCM-SHA256

Nat├╝rlich haben wir versucht, die Westf├Ąlische Hochschule, genauer die ZIM-IT zu erreichen, aber „Aufgrund von technischen St├Ârungen“ war eine Kontaktaufnahme nicht m├Âglich. Bei mehreren Leuten aus der Abteilung wurde es auch telefonisch versucht, aber alle ausgeflogen.

Da bleibt leider nur der Weg, es mal ├╝ber die gebrochene TLS Strecke zu versuchen. Welch Ironie ­čśÇ

Der Gegentest

Der Gegentest war eigentlich nicht n├Âtig, aber falls noch Zweifel bestanden :

2018-02-27 12:13:59 => information@internet-sicherheit.de R=dnslookup T=remote_smtp H=smtp.internet-sicherheit.de [194.94.127.56] X=TLSv1:AES256-SHA:256

Der Cipher ist jetzt auch nicht wirklich brauchbar, um genau zu sein, da├č ist wohl so ziemlich der simpelste Cipher der m├Âglich ist. Nur AES-128-SHA:256 w├Ąre noch schlechter ­čśÇ Gibt es eigentlich einen AES-128-MD5 ??? ­čśÇ

Trotz des groben Schnitzers mit dem TLS, kann man den Kompass zur „leichten Orientierung“ an bislang unbelastete Unternehmer weitergeben. Der Inhalt ist nicht an sich schlecht. In Teilen ist er aber noch verbesserungsw├╝rdig. bspw. die Tabelle auf Seite 14 macht erst nach dem dritten oder vierten mal Sinn. Der Inhalt pa├čt aber nicht zur Beschreibung.

Auch die Empfehlung, da├č kleine Unternehmen mehr oder minder aufwendige Prozeduren manueller Art machen sollen, statt sich einfach f├╝r 7,99 ÔéČ im Monat einen Emailanbieter wie „uns“ zu mieten, der Auto GPG und Keymanagement inkl. anbietet(und TSL 1.2 kann ­čśë ), erschlie├čt sich mir jetzt nicht direkt. Da sind wohl Annahmen im Spiel, die einfach falsch sind.

Vielleicht schreibe ich ja dazu nochmal was.