Sicherheitsprobleme in E-Mail-Verschlüsselung PGP, GPG und S/MIME

E-Mail-Verschlüsselung unsicher

0

Sicherheitsexperten haben ein Sicherheitsproblem in den Verschlüsselungsverfahren PGP beziehungsweise GPG und S/MIME entdeckt. Anwender sollen derzeit ihre E-Mails nicht mehr verschlüsseln, entsprechende Funktionen in ihren Clients abschalten und chiffrierte Nachrichten auf anderen Kanälen austauschen.

Letzteres rät unter anderem die Electronic Frontier Foundation (EFF). Laut den Forschern rund um Sebastian Schinzel von der Fachhochschule Münster können durch das Sicherheitsproblem Angreifer den Nachrichtentext von E-Mails entschlüsseln. Dies gelänge auch für E-Mails, die bereits in der Vergangenheit gesendet und abgefangen wurden.

Das kurz Efail getaufte Problem soll zahlreiche Programme betreffen, die E-Mails verschlüsseln. Unter Linux gilt dies etwa für Thunderbird mit Enigmail-Plugin. Wer geheime Informationen verschicken muss, sollte daher vorerst auf andere verschlüsselte Kommunikationswege umsteigen. Als Alternative kommen beispielsweise Messenger mit Ende-zu-Ende-Verschlüsselung infrage. Die EFF rät beispielsweise zum Messenger Signal.

Detaillierte Informationen finden sich auf der offiziellen Website zum Sicherheitsproblem. Demnach nutzen die Sicherheitsexperten gezielt die Eigenschaften von HTML-Nachrichten aus. Diese erlauben vor allem das Nachladen von Inhalten, wie etwa Bildern. Vereinfacht zusammengefasst fängt ein Angreifer eine verschlüsselte E-Mail ab, verändert sie passend und schickt das Ergebnis an den Empfänger. Dort entschlüsselt der Client die E-Mail, lädt dann wie vom eingebetteten HTML-Code befohlen externe Inhalte nach und erlaubt so dem Angreifer Einblick in die entschlüsselte E-Mail. Die Sicherheitsexperten beschreiben zudem zwei verschiedene Angriffsmöglichkeiten: Im ersten Fall nutzen sie Sicherheitslücken in den Clients aus, im zweiten Probleme in den Spezifikationen von OpenPGP und S/MIME.

Die Sicherheitsforscher raten dazu, die Entschlüsselung nicht im E-Mail-Client durchzuführen. Darüber hinaus ist die Anzeige von HTML abzuschalten, insbesondere sollten E-Mail-Clients die eingehenden E-Mails nicht (automatisch) rendern.

Da einige Clients eigenmächtig handeln, ist man nicht vor dem Angriff geschützt, wenn man ausschließlich verschlüsselte Textnachrichten ohne HTML-Anteil verschickt beziehungsweise verschickt hat. Die Forscher weisen allerdings darauf hin, dass Angreifer in den Besitz der verschlüsselten E-Mails gelangen müssen. Dies ist jedoch beim Versand über das Internet nicht auszuschließen.

Hinterlasse einen Kommentar

  E-Mail Benachrichtigung  
Benachrichtige mich zu: