OpenPGP und S/MIME: Forscher warnen vor unsicherer E-Mail-Verschlüsselung

E Mail Security Shutterstock 290581919 700

Ein Forscherteam hat eine ganze Reihe von Problemen bei der Verwendung verschlüsselter E-Mails entdeckt. Im schwerwiegenderen der beiden Angriffsszenarien erlaubten Apple Mail, der E-Mail-Client des iPhone-Systems iOS und das Programm Mozilla Thunderbird das direkte Herausziehen der Nachrichten, das einfacher umzusetzen sei.

Details dazu, wie die Verschlüsselungssysteme im Detail ausgehebelt wurden, wollen die Forscher dann Ende dieser Woche an einer Fachkonferenz in Bochum veröffentlichen. Auch müssen Hacker für beide Angriffe zunächst an den verschlüsselten Mail-Text gelangen - keine einfache Aufgabe, da mittlerweile auch die Übertragung von unverschlüsselten Mails zwischen Mail-Servern zunächst verschlüsselt erfolgt.

Wegen schwerer Sicherheitslücken in den Krypto-Standards OpenPGP und S/MIME birgt E-Mail-Verschlüsselung derzeit Risiken. "Der Ausbau des BSI als nationale Cyber-Sicherheitsbehörde und zentrales Kompetenzzentrum für Informationssicherheit, wie ihn die Bundesregierung vorgesehen hat, ist Voraussetzung dafür, dass wir uns im Bereich der Verschlüsselung noch stärker einbringen können", so BSI-Präsident Arne Schönbohm.

Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und 10 von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln können, hieß es.

Die bekannten Mail-Verschlüsselungssysteme PGP und S/MIME sollen alles andere als sicher sein. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies darauf hin, dass für die "EFail"-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei". Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Insbesondere betreffe das die Darstellung von aktiven Inhalten, wie Flash- oder Java-Anwendungen, sowie das Nachladen externer Inhalte. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.

Die Bürgerrechtsstiftung Electronic Frontier Foundation (EFF) rät indes, zumindest bei Mobilgeräten für die vertrauliche Kommunikation vorübergehend besser Kryptomessenger wie Signal einzusetzen. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

Der deutsche Software-Entwickler Werner Koch, der maßgeblich das freie PGP-Programm GNU Privacy Guard (GnuPG) entwickelt hat, trat Experten entgegen, die empfohlen hatten, die PGP-Software zu deinstallieren.

Related:

Comments

Latest news

RAGE 2: Teaser-Trailer bestätigt Entwicklung
Demnach soll die Spieler eine Welt ohne Regeln erwarten, in der der Wahnsinn regiert. Eine etwas umfangreichere Enthüllung wird erst morgen stattfinden.

Anklage gegen 17 "Identitäre" in Österreich: Hass als PR für "Leibchen"-Verkauf"
Der Strafrahmen für das Vergehen der kriminellen Vereinigung beträgt bis zu drei Jahren Freiheitsstrafe. Grund ist auch eine Störaktion der "Identitären" an der Universität Klagenfurt.

Gesicht entstellt: Model (23) wird von Kampfhund zerfleischt
Eine schreckliche Situation, wie sie erklärte: "Das tut weh und verschlimmert meine Unsicherheit". "Du bist schöner denn je". Eine Woche verbrachte die 23-Jährige danach im Spital, plastische Chirurgen versuchten, ihr Gesicht wiederherzustellen.

Union Berlin trennt sich von Hofschneider
Damit reagierte der Verein auf eine enttäuschende Saison, in der die Unioner lange im Abstiegskampf gesteckt hatten. Am Tag nach dem Saisonende hat der FC Union Berlin einige Personalentscheidung getroffen.

Nach gemütlichem Grillen Mann stirbt in seinem Campingbus
Ein Mann war dort nach einer Kohlenmonoxid-Vergiftung gestorben, seine Frau wurde schwer verletzt in eine Klinik gebracht. Weil die Kohle anscheinend noch nicht vollständig ausgeglüht war, verströmte sie aber weiterhin giftiges Kohlenmonoxid.

Other news