UliK hat geschrieben:
1. Die eMail-Verschlüsselung
Das kommt auf die verwendete Methode an. GPG-Schlüssel sind vom Bug nicht betroffen, S/MIME Zertifikate dagegen, die man man fehlerhaften OpenSSL Bibliotheken erstellt hat, dagegen schon.
Bei der verschlüsselten Verbindung zum Mailserver per TLS oder SSL kommt es auf die verwendete Bibliothek an. Thunderbird nutzt afaik die NLS Bibliothek, ist also nicht betroffen. KMail dagegen nutzt OpenSSL, alle mit fehlerhaften OpenSSL aufgebauten Verbindungen haben also schwache SSL-Schlüssel verwendet.
Hier musst du als Anwender selbst abwiegen, ob deine E-Mails von solchem Wert sind, dass jemand Interesse gehabt haben könnte, diese mitzulauschen. Auf einen Otto-Normalanwender trifft das allerdings wohl kaum zu.
UliK hat geschrieben:
2. Der WLAN-Schlüssel (aber eigentlich ist das doch WPA, oder verstehe ich da was falsch)
WPA hat mit OpenSSL überhaupt nichts zu tun.
UliK hat geschrieben:
Und wenn ich ein Problem habe, wie kann ich dann eigentlich einen neuen Schlüssel erstellen?
Wenn du nie einen Schlüssel mit OpenSSL erstellt hast, kannst du auch keinen neuen erstellen 😉 Schlüssel erstellt hast du beispielsweise, wenn du dir ein S/MIME Zertifikat erzeugst hast, oder SSH auf deinem System installiert hast. Wenn dir das nichts sagt, dann hast du auch keine Schlüssel erstellt.
UliK hat geschrieben:
Da ich gar nicht weiß, wie das geht, deutet das ja vielleicht auch darauf hin, dass mich das Problem gar nicht betrifft...!?
Ich würde auf diese Frage ohne schlechtes Gewissen erstmal "Ja" antworten. Zwar warst du möglicherweise auch Opfer von schlechten Schlüsseln, nur hat in deinem Fall wohl kaum jemand Profit daraus gezogen.
HTTPS Verbindungen nutzen temporäre Sitzungsschlüssel. Nutzt dein Browser OpenSSL für HTTPS Verbindungen, so waren diese Sitzungsschlüssel schwach und somit angreifbar. Allerdings hätte jemand genügend Interesse an deinen Daten haben müssen, um das auszunutzen. Von derlei Angriffen ist mir allerdings nichts bekannt. Zumal Man-in-the-Middle-Attacken auf HTTPS-Verbindungen Kontrolle über einen Rechner dazwischen erfordern, was für den Angreifer sehr aufwendig ist, und daher wohl nur zu befürchten ist, wenn die darüber übertragenen Daten von erheblichem Wert sind. In diese Kategorie würde ich allerdings weder Online-Banking-Daten noch Kreditkarten-Daten beim Online Shopping einordnen. Da bewegen wir uns eher auf der Ebene professioneller Industriespionage oder ähnlichem.
Zudem ist Firefox auch gar nicht betroffen, da er wie Thunderbird auch NLS nutzt. Konqueror dagegen schon, Opera kenne ich nicht gut genug, um das beurteilen zu können.
Fazit: Privatanwender müssen sich deswegen nicht sofort Sorgen machen. Wenn du keine mit schwachen Bibliotheken erstellte Schlüssel besitzt (beispielsweise SSH Schlüssel oder S/MIME Zertifikate), musst du nichts unternehmen, sondern nur die Updates einspielen.
