Schwache Verschlüsselung Mathematiker entdeckt E-Mail-Sicherheitslücke

Wer schreibt denn da? Ein Mathematiker hat entdeckt: Manche Unternehmen haben die Signaturen ihrer E-Mails bisher schlampig verschlüsselt. Wer so einen Schlüssel knackt, kann sich als ein anderer ausgeben - zum Beispiel als Google-Mitarbeiter.

E-Mails: Der schwache Schlüssel machte es leicht, die Absender-Adressen zu fälschen
Corbis

E-Mails: Der schwache Schlüssel machte es leicht, die Absender-Adressen zu fälschen


Die Absender-E-Mail-Adressen vieler großer Online-Unternehmen konnten bisher offenbar leicht gefälscht werden. Denn sie haben zu kurze Schlüssel für die digitalen Signaturen ihrer E-Mails eingesetzt. Das berichtet das US-Magazin "Wired" und erzählt die kuriose Geschichte, wie die Sicherheitslücke ans Licht kam.

Der Mathematiker Zachary Harris erhielt im Dezember aus heiterem Himmel eine E-Mail - ein Jobangebot von Google. Harris stutzte und wollte prüfen, ob die Mail wirklich von Google stammt oder von einem Betrüger. Er sah sich die Informationen im Header an, aber offenbar war alles in Ordnung. Doch er machte eine Entdeckung: Google nutzt offenbar einen schwachen Schlüssel, um die Mails zu signieren, die wirklich aus dem Haus kommen.

Mindestens 1024 Bit gelten als sicher

Für diese Signatur nutzte Google - wie vielerorts üblich - das Verfahren DomainKeys Identified Mail (DKIM). Damit soll verhindert werden, dass Mails im falschen Namen, sprich vom falschen Absender verschickt werden können.

Als sicher gilt ein Schlüssel mit mindestens 1024 Bit, laut Harris nutzte Google allerdings nur einen 512-Bit-Schlüssel, wie auch andere Unternehmen, die er später daraufhin prüfte. Amazon und Twitter sollen dabei gewesen sein, Yahoo und eBay. Ein so kurzer Schlüssel ist in relativ kurzer Zeit zu knacken und kann es jemandem leicht machen, die Mails zu fälschen - und sich als ein Absender auszugeben, der man nicht ist. Als Google-Chef zum Beispiel.

Harris hielt die Lücke für ein Bewerbungsrätsel

Da es sich bei der E-Mail an Harris nun einmal um ein Jobangebot handelte, hielt er das Ganze für ein Rätsel, behauptet er gegenüber der "Wired". Vielleicht sollte er ja die Lücke entdecken, um zu zeigen was er drauf hat. Und das ist nach eigenen Angaben nicht viel, Harris ist Mathematiker und kein Sicherheitsexperte. Also knackte er den Schlüssel und schickte eine Mail an Google-Chef Larry Page - allerdings mit dem Absender des Mitbegründers Sergey Brin. Er sorgte dafür, dass eine Antwort auch in seinem Postfach landen würde, aber es kam keine.

Stattdessen wurde die Sicherheitslücke geschlossen - was übrigens nicht schwierig ist. Die Unternehmen müssen einfach einen längeren Schlüssel verwenden und den alten löschen. Eine Google-Sprecherin wird bei der "Wired" zitiert, man habe das Problem sehr ernst genommen und die Schlüssel entsprechend durch längere ersetzt.

Harris aber ging an die Öffentlichkeit, machte auf die Lücke aufmerksam, warnte und mahnte damit die Unternehmen, einen sicheren Schlüssel zu verwenden. Mittlerweile hat auch das amerikanische "Computer Emergency Readiness Team" (CERT) die Lücke aufgenommen und bedankt sich auf der Seite bei Harris für die Meldung.

juh

Mehr zum Thema


© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.