OpenPGP und S/MIME: Forscher warnen vor unsicherer E-Mail-Verschlüsselung

E Mail Security Shutterstock 290581919 700

Ein Forscherteam hat eine ganze Reihe von Problemen bei der Verwendung verschlüsselter E-Mails entdeckt. Im schwerwiegenderen der beiden Angriffsszenarien erlaubten Apple Mail, der E-Mail-Client des iPhone-Systems iOS und das Programm Mozilla Thunderbird das direkte Herausziehen der Nachrichten, das einfacher umzusetzen sei.

Details dazu, wie die Verschlüsselungssysteme im Detail ausgehebelt wurden, wollen die Forscher dann Ende dieser Woche an einer Fachkonferenz in Bochum veröffentlichen. Auch müssen Hacker für beide Angriffe zunächst an den verschlüsselten Mail-Text gelangen - keine einfache Aufgabe, da mittlerweile auch die Übertragung von unverschlüsselten Mails zwischen Mail-Servern zunächst verschlüsselt erfolgt.

Wegen schwerer Sicherheitslücken in den Krypto-Standards OpenPGP und S/MIME birgt E-Mail-Verschlüsselung derzeit Risiken. "Der Ausbau des BSI als nationale Cyber-Sicherheitsbehörde und zentrales Kompetenzzentrum für Informationssicherheit, wie ihn die Bundesregierung vorgesehen hat, ist Voraussetzung dafür, dass wir uns im Bereich der Verschlüsselung noch stärker einbringen können", so BSI-Präsident Arne Schönbohm.

Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und 10 von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln können, hieß es.

Die bekannten Mail-Verschlüsselungssysteme PGP und S/MIME sollen alles andere als sicher sein. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies darauf hin, dass für die "EFail"-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei". Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Insbesondere betreffe das die Darstellung von aktiven Inhalten, wie Flash- oder Java-Anwendungen, sowie das Nachladen externer Inhalte. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.

Die Bürgerrechtsstiftung Electronic Frontier Foundation (EFF) rät indes, zumindest bei Mobilgeräten für die vertrauliche Kommunikation vorübergehend besser Kryptomessenger wie Signal einzusetzen. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

Der deutsche Software-Entwickler Werner Koch, der maßgeblich das freie PGP-Programm GNU Privacy Guard (GnuPG) entwickelt hat, trat Experten entgegen, die empfohlen hatten, die PGP-Software zu deinstallieren.

Related:

Comments

Latest news

Overwatch - Geleakter Teaser bestätigt Anniversary-Event
Spieler, die sich während des Events einloggen, erhalten eine legendäre Jubiläums-Lootbox mit einem garantierten legendären Extra. PlayStation-Spieler benötigen während des Gratiswochenendes zum Spielen von Overwatch keinen PlayStation-Plus-Account.

Bundeswehr: Verteidigungsausgaben erhöhen sich nur schleppend
Das bedeutet, dass die Bundesrepublik das Zwei-Prozent-Ziel der Nato zumindest aus amerikanischer Lesart klar verfehlen wird. Das Zwei-Prozent-Ziel sei kein "Fetisch", die Erfüllung der Aufgaben der Bundeswehr mache einen solchen Wert notwendig.

Union Berlin trennt sich von Hofschneider
Damit reagierte der Verein auf eine enttäuschende Saison, in der die Unioner lange im Abstiegskampf gesteckt hatten. Am Tag nach dem Saisonende hat der FC Union Berlin einige Personalentscheidung getroffen.

Zahl der Erwerbstätigen im ersten Quartal kräftig gestiegen
Im Vergleich zum Vorjahresquartal ist die Zahl der Erwerbstätigen gestiegen, und zwar um 1,4 Prozent. Bereits im vierten Quartal 2017 hatte der Anstieg im Vorjahresvergleich bei 1,4 Prozent gelegen.

Vom Papst gesegnet - für 715.000 Euro versteigert
Das Startgebot für das weißlackierte Auto, dass in der Spitze bis zu 325 km/h schnell ist, lag bei 150.000 Euro. Um den Lamborghini noch wertvoller zu machen, signierte Papst Franziskus den Wagen.

Other news