OpenPGP und S/MIME: Forscher warnen vor unsicherer E-Mail-Verschlüsselung

E Mail Security Shutterstock 290581919 700

Ein Forscherteam hat eine ganze Reihe von Problemen bei der Verwendung verschlüsselter E-Mails entdeckt. Im schwerwiegenderen der beiden Angriffsszenarien erlaubten Apple Mail, der E-Mail-Client des iPhone-Systems iOS und das Programm Mozilla Thunderbird das direkte Herausziehen der Nachrichten, das einfacher umzusetzen sei.

Details dazu, wie die Verschlüsselungssysteme im Detail ausgehebelt wurden, wollen die Forscher dann Ende dieser Woche an einer Fachkonferenz in Bochum veröffentlichen. Auch müssen Hacker für beide Angriffe zunächst an den verschlüsselten Mail-Text gelangen - keine einfache Aufgabe, da mittlerweile auch die Übertragung von unverschlüsselten Mails zwischen Mail-Servern zunächst verschlüsselt erfolgt.

Wegen schwerer Sicherheitslücken in den Krypto-Standards OpenPGP und S/MIME birgt E-Mail-Verschlüsselung derzeit Risiken. "Der Ausbau des BSI als nationale Cyber-Sicherheitsbehörde und zentrales Kompetenzzentrum für Informationssicherheit, wie ihn die Bundesregierung vorgesehen hat, ist Voraussetzung dafür, dass wir uns im Bereich der Verschlüsselung noch stärker einbringen können", so BSI-Präsident Arne Schönbohm.

Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und 10 von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln können, hieß es.

Die bekannten Mail-Verschlüsselungssysteme PGP und S/MIME sollen alles andere als sicher sein. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies darauf hin, dass für die "EFail"-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei". Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Insbesondere betreffe das die Darstellung von aktiven Inhalten, wie Flash- oder Java-Anwendungen, sowie das Nachladen externer Inhalte. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.

Die Bürgerrechtsstiftung Electronic Frontier Foundation (EFF) rät indes, zumindest bei Mobilgeräten für die vertrauliche Kommunikation vorübergehend besser Kryptomessenger wie Signal einzusetzen. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

Der deutsche Software-Entwickler Werner Koch, der maßgeblich das freie PGP-Programm GNU Privacy Guard (GnuPG) entwickelt hat, trat Experten entgegen, die empfohlen hatten, die PGP-Software zu deinstallieren.

Related:

Comments

Latest news

Overwatch - Geleakter Teaser bestätigt Anniversary-Event
Spieler, die sich während des Events einloggen, erhalten eine legendäre Jubiläums-Lootbox mit einem garantierten legendären Extra. PlayStation-Spieler benötigen während des Gratiswochenendes zum Spielen von Overwatch keinen PlayStation-Plus-Account.

Anklage gegen 17 "Identitäre" in Österreich: Hass als PR für "Leibchen"-Verkauf"
Der Strafrahmen für das Vergehen der kriminellen Vereinigung beträgt bis zu drei Jahren Freiheitsstrafe. Grund ist auch eine Störaktion der "Identitären" an der Universität Klagenfurt.

23-Jähriger sticht auf schwangere Frau ein
Nach ersten Informationen hatte ein Mann gegen 12 Uhr im Bereich der Frankfurter Straße auf die 38-Jährige eingestochen. Der Tatverdächtige ist ein 23-jähriger Mann, der wie die Frau in Bischofsheim lebt und mit dem Opfer verwandt sein soll.

Bundesfinanzhof: Finanzamt kassiert überhöhte Zinsen
Diese inzwischen "realitätsferne Bemessung des Zinssatzes" verletze den Gleichheitssatz des Grundgesetzes, so die Bundesrichter. Der Bundesfinanzhof (BFH) hält die hohen Nachzahlungszinsen auf Steuern von sechs Prozent im Jahr für verfassungswidrig.

Vom Papst gesegnet - für 715.000 Euro versteigert
Das Startgebot für das weißlackierte Auto, dass in der Spitze bis zu 325 km/h schnell ist, lag bei 150.000 Euro. Um den Lamborghini noch wertvoller zu machen, signierte Papst Franziskus den Wagen.

Other news