In der stetigen Bestrebung, die Sicherheit des beliebten Email-Programms Thunderbird zu verbessern, wurde mit der Version 115.0 eine wesentliche Änderung vorgenommen, die nicht ohne Weiteres zu übersehen ist. Um genau zu sein, es geht um die Verwendung des SHA-1 Algorithmus in den digitalen Signaturen von S/MIME Emails, die ab dieser Version nicht mehr unterstützt wird.
Es ist allgemein bekannt und auch in dem dazugehörigen Wikipedia-Artikel nachzulesen, dass der SHA-1 Algorithmus in den meisten Kontexten als unsicher gilt, was natürlich auch die digitalen Signaturen einschließt. Daher hat sich das Team hinter Thunderbird dazu entschieden, einen Schlussstrich zu ziehen und die Verwendung dieses veralteten Algorithmus nicht länger zu akzeptieren.
Wenn Sie nun eine Nachricht erhalten, die von dieser Änderung betroffen ist, wird Thunderbird eine ungültige Signatur melden. Aber wie erkennen Sie solche Nachrichten? Nun, das ist gar nicht so schwer. Sie müssen lediglich einen Blick in den Quelltext der Nachricht werfen und nach dem Text micalg= in den Nachrichtenköpfen suchen. Sollte dieser Text von sha-1 oder sha1 gefolgt sein, ist es an der Zeit, den Absender zu kontaktieren und ihn darum zu bitten, seine Software zu aktualisieren.
Die meisten modernen Email-Programme, die S/MIME unterstützen, sollten bereits in der Lage sein, einen anderen Hash-Algorithmus zu verwenden. Ein Beispiel für eine moderne Alternative wäre SHA-256. Möglicherweise müssen Sie eine Einstellung ändern, um diesen zu aktivieren.
Das Thunderbird-Team hat kürzlich erfahren, dass in einigen Umgebungen, insbesondere bei einigen Regierungsbehörden, die Verwendung von SHA-1 nach wie vor erforderlich ist. Diese senden weiterhin Nachrichten aus, die auf SHA-1 basieren. Die Empfänger solcher Nachrichten wünschten sich eine Möglichkeit, die Gültigkeit solcher Signaturen zu bestätigen, auch wenn das Risiko besteht, dass die Signatur gefälscht wurde.
Um diesen Thunderbird-Nutzern entgegenzukommen, wird ab der Version 115.4.1 ein neuer Konfigurationsmechanismus eingeführt. Mit diesem kann die Akzeptanz von S/MIME Signaturen, die auf SHA-1 basieren, aktiviert werden. Um diese Funktion zu nutzen, müssen Sie in den Einstellungen von Thunderbird den erweiterten Konfigurationseditor aufrufen, nach der Einstellung mail.smime.accept_insecure_sha1_message_signatures suchen und diesen auf den Wert true setzen.
Beachten Sie jedoch, dass das Ändern dieser Einstellung nicht empfohlen wird. Wenn Sie sich dennoch dazu entschließen, diese Einstellung zu ändern, sollten Sie parallel dazu arbeiten, Ihre Korrespondenten dazu zu bewegen, so schnell wie möglich auf SHA-256 oder neuer umzusteigen. Sobald dies geschehen ist, sollten Sie die Einstellung wieder auf false zurücksetzen.
Das Ändern dieser Einstellung hat keine Auswirkungen auf die Nachrichten, die Thunderbird versendet. Thunderbird verwendet bereits seit mehreren Jahren SHA-256 für das Senden von digital signierten S/MIME-Nachrichten.
Das Team hinter Thunderbird ist sich bewusst, dass diese Forderung nach der Abschaffung unsicherer Algorithmen, während andere Software diese noch verwendet, als verfrüht erscheinen mag. Dennoch hoffen wir, mit unseren Maßnahmen das Bewusstsein für dieses Thema zu schärfen und Anwender dazu zu motivieren, ihre Einstellungen auf sicherere Optionen umzustellen, was sie sonst vielleicht nicht getan hätten.