Die beiden Verschlüsselungstechniken PGP und S/Mime sind nach einem Bericht der Süddeutschen Zeitung nicht mehr sicher.
Wie die Zeitung schreibt, ist es Forschen von verschiedenen Universitäten, darunter die FH Münster, die Ruhr-Universität Bochum und die KU Löwen (Belgien), gelungen die genannten Verschlüsselungsverfahren zu knacken. Professor Sebastian Schinzel von der FH Münster hat das Projekt geleitet.
Dass die Verfahren nicht mehr sicher sind, ist eine große Überraschung: sie galten auch vor der NSA als sicher und wurden sogar von Snowden gelobt. Als Reaktion vor dem Hack warnt auch nun die Electronic Frontier Foundation (EFF) vor unsicheren eMails.
Das Knacken der eMails ist dabei recht einfach und sogar fast elegant. Unter der Vorraussetzung, dass der Ciphertext vorliegt, also die eigentlich unlesbaren Daten, die bei der Verschlüsselung der eMail anfallen und dass der Empfänger die HTML Fähigkeit seines eMail Programms aktiviert hat, gingen die Forscher folgendermaßen vor: Sie schicken den zu knackenden verschlüsselten Text versteckt in einer normalen eMail an den Empfänger. Dessen eMail Programm erkennt nicht nur den unverschlüsselten sondern auch den verschlüsselten Text und beginnt sofort damit diesen mit dem vorhandenen privaten Schlüssel zu entschlüsseln. Entsprechender Code in der eMail greift nun in diesem Moment exakt diesen privaten Schlüssel ab und schickt ihn dank HTML an den Angreifer zurück. Das Kunststück liegt also darin das eMail Programm dazu zu bringen verschlüsselte eMails automatisch zu entschlüsseln und in dem Moment per manipulierter eMail den privaten Schlüssel abzugreifen.
Das Fazit also für alle, die aktuell eines der beiden Verfahren benutzen: HTML im eMail Programm abschalten, aktuell keine verschlüsselten Mails mehr lesen und besonders die automatische Entschlüsselung abschalten. Für die nächste Zeit raten die Forscher zudem dazu gänzlich andere Arten der Verschlüsselung zu nutzen. Wie man an der Methode sehen kann, scheint die Verschlüsselung selbst noch in Ordnung zu sein “nur” die Implementierung in eMail-Programme ist anfällig.
Alle Details unter https://efail.de.
