Ein gestohlener Schlüssel funktionierte möglicherweise nicht nur bei Exchange Online, sondern war eine Art Masterkey für große Teile der Mircrosoft-Cloud.
Kann jemand in einfachen Worten erklären, warum Microsoft überhaupt über einen Schlüssel verfügt/verfügen muss, mit dem man E-Mails der Nutzer lesen kann?
Dieser spezielle Schlüssel hat nichts mit der Verschlüsselung von Daten in der MS-Cloud zu tun. Dafür sorgen andere Mechanismen.
Mit dem Schlüssel lassen sich gültige Token generieren. Solche Token werden von Diensten genutzt, um zu bestimmen, ob ein Zugriff auf eine bestimmte Ressource/Dienst erfolgen darf oder nicht.
Damit sich nicht jeder Token generiert, müssen Sie digital signiert werden (so eine Art komplexe Prüfsumme). Sind sie gültig signiert, akzeptiert sie der Server und gestattet den Zugriff.
Und genau dieser Schlüssel zur Erstellung eines signierten Tokens ist Microsoft abhanden gekommen.
Ist abstrakt ein bisschen so, als würde dir die Gussform für den Universalschlüssel eines Hochhauses abhanden kommen.
Kann jemand in einfachen Worten erklären, warum Microsoft überhaupt über einen Schlüssel verfügt/verfügen muss, mit dem man E-Mails der Nutzer lesen kann?
Dieser spezielle Schlüssel hat nichts mit der Verschlüsselung von Daten in der MS-Cloud zu tun. Dafür sorgen andere Mechanismen.
Mit dem Schlüssel lassen sich gültige Token generieren. Solche Token werden von Diensten genutzt, um zu bestimmen, ob ein Zugriff auf eine bestimmte Ressource/Dienst erfolgen darf oder nicht.
Damit sich nicht jeder Token generiert, müssen Sie digital signiert werden (so eine Art komplexe Prüfsumme). Sind sie gültig signiert, akzeptiert sie der Server und gestattet den Zugriff.
Und genau dieser Schlüssel zur Erstellung eines signierten Tokens ist Microsoft abhanden gekommen.
Ist abstrakt ein bisschen so, als würde dir die Gussform für den Universalschlüssel eines Hochhauses abhanden kommen.
Und du erzählst es einen Monat lang niemandem und die Leute merken nicht, dass ihnen derweil jemand die Bude ausräumt, während sie im Urlaub sind.
Und ich nehme mal an, das geht auch wunderbar und komplett an second factor vorbei?
deleted by creator
E-Mails sind sowieso auf dem Server immer lesbar. Hier geht es wohl eher darum, dass mit diesem Schlüssel auch andere an das Postfach kommen.
Wenn du Emails lokal verschlüsselt und dann verschickt sind diese auf dem Server natürlich nur verschlüsselt. Aber ja, generell hast du recht.
Ich weiß nicht, wie das hier wäre, es geht ja um Cloud, da haben nicht alle Anbieter Verschlüsselung auf Clientseite. Oder zumindest war das früher so