Efail: Details zu Problemen bei E-Mail-Verschlüsselung

0
964

Zu den seit gestern bekannten Schwachstellen in den E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP sind nun Details veröffentlicht worden.

Wie IT-Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum und der Universität Leuven (Belgien) demonstrieren, können die weit verbreiteten Standards die Vertraulichkeit verschlüsselt verschickter Nachrichten nicht garantieren. Unter dem Begriff “Efail” fassen die Forscher eine Reihe von Sicherheitsproblemen und Angriffsszenarien zusammen. Unter dem Strich sind so gut wie alle E-Mail-Programme namhafter Hersteller betroffen, die Verschlüsselung auf Basis von S/MIME und OpenPGP anbieten.

Die Schwachstelle besteht darin, dass Nachrichten nicht ausreichend gegen Manipulationen geschützt sind. Voraussetzung für erfolgreiche Angriffe auf Basis von Efail ist, dass Angreifer verschlüsselte Mails beim Transport abfangen und zum Beispiel eigene präparierte Anhänge ergänzen können. Wenn die Mail beim Empfänger entschlüsselt wird, sorgt der ergänzte Code dafür, dass Inhalte im Klartext an den Angreifer geleitet wird. Ein Knacken der eigentlichen Verschlüsselung ist gar nicht notwendig.

Kurzfristige und langfristige Maßnahmen

Gegen dieses und weitere, komplexere Angriffsszenarien können einige Vorsichtsmaßnahmen bei der Konfiguration von E-Mail-Programmen helfen. So empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), html und das Nachladen von Bildern beim Empfang verschlüsselter Mails abzuschalten. Hersteller von E-Mail-Clients wurden bereits vor Monaten über die Probleme informiert, um schnell Sicherheits-Updates anbieten zu können. Ein langfristig wirksamer Schutz vor nachträglicher Manipulation von verschlüsselten E-Mails muss, so die Sicherheitsforscher, letztlich aber in die Standards selbst integriert werden.

Weitere Details zu den Sicherheitsproblemen und technische Hintergründe sind auf einer eigens eingerichteten Webseite zusammengetragen worden.