OpenPGP und S/MIME: Forscher warnen vor unsicherer E-Mail-Verschlüsselung

E Mail Security Shutterstock 290581919 700

Ein Forscherteam hat eine ganze Reihe von Problemen bei der Verwendung verschlüsselter E-Mails entdeckt. Im schwerwiegenderen der beiden Angriffsszenarien erlaubten Apple Mail, der E-Mail-Client des iPhone-Systems iOS und das Programm Mozilla Thunderbird das direkte Herausziehen der Nachrichten, das einfacher umzusetzen sei.

Details dazu, wie die Verschlüsselungssysteme im Detail ausgehebelt wurden, wollen die Forscher dann Ende dieser Woche an einer Fachkonferenz in Bochum veröffentlichen. Auch müssen Hacker für beide Angriffe zunächst an den verschlüsselten Mail-Text gelangen - keine einfache Aufgabe, da mittlerweile auch die Übertragung von unverschlüsselten Mails zwischen Mail-Servern zunächst verschlüsselt erfolgt.

Wegen schwerer Sicherheitslücken in den Krypto-Standards OpenPGP und S/MIME birgt E-Mail-Verschlüsselung derzeit Risiken. "Der Ausbau des BSI als nationale Cyber-Sicherheitsbehörde und zentrales Kompetenzzentrum für Informationssicherheit, wie ihn die Bundesregierung vorgesehen hat, ist Voraussetzung dafür, dass wir uns im Bereich der Verschlüsselung noch stärker einbringen können", so BSI-Präsident Arne Schönbohm.

Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und 10 von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln können, hieß es.

Die bekannten Mail-Verschlüsselungssysteme PGP und S/MIME sollen alles andere als sicher sein. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies darauf hin, dass für die "EFail"-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei". Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Insbesondere betreffe das die Darstellung von aktiven Inhalten, wie Flash- oder Java-Anwendungen, sowie das Nachladen externer Inhalte. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.

Die Bürgerrechtsstiftung Electronic Frontier Foundation (EFF) rät indes, zumindest bei Mobilgeräten für die vertrauliche Kommunikation vorübergehend besser Kryptomessenger wie Signal einzusetzen. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

Der deutsche Software-Entwickler Werner Koch, der maßgeblich das freie PGP-Programm GNU Privacy Guard (GnuPG) entwickelt hat, trat Experten entgegen, die empfohlen hatten, die PGP-Software zu deinstallieren.

Related:

Comments

Latest news

Overwatch - Geleakter Teaser bestätigt Anniversary-Event
Spieler, die sich während des Events einloggen, erhalten eine legendäre Jubiläums-Lootbox mit einem garantierten legendären Extra. PlayStation-Spieler benötigen während des Gratiswochenendes zum Spielen von Overwatch keinen PlayStation-Plus-Account.

Anklage gegen 17 "Identitäre" in Österreich: Hass als PR für "Leibchen"-Verkauf"
Der Strafrahmen für das Vergehen der kriminellen Vereinigung beträgt bis zu drei Jahren Freiheitsstrafe. Grund ist auch eine Störaktion der "Identitären" an der Universität Klagenfurt.

Nach gemütlichem Grillen Mann stirbt in seinem Campingbus
Ein Mann war dort nach einer Kohlenmonoxid-Vergiftung gestorben, seine Frau wurde schwer verletzt in eine Klinik gebracht. Weil die Kohle anscheinend noch nicht vollständig ausgeglüht war, verströmte sie aber weiterhin giftiges Kohlenmonoxid.

Oneplus 6: Amazon verrät Preis und zeigt Bilder
Wie zum Beispiel den etwas höheren Preis, ab 519 Euro gibt es 64 Gigabyte Datenspeicher und für 569 Euro satte 128 Gigabyte. Vorgestellt wird das Android-Flaggschiff eigentlich erst am Mittwoch, spannende Details gibt es aber schon jetzt.

Drei Wien-Flüge wegen Streiks gestrichen
Wegen eines Streiks bei der Lufthansa-Tocher Brussels Airlines sind am Montag vier Flüge von Berlin nach Brüssel annulliert. Die Piloten fordern höhere Gehälter und Renten sowie einen besseren Ausgleich zwischen Freizeit und Arbeitszeit.

Other news