SPIEGEL ONLINE

SPIEGEL ONLINE

14. Mai 2018, 10:33 Uhr

Kritische Schwachstelle

Experten raten vorerst von E-Mail-Verschlüsselung ab

Von

Einige Sicherheitsexperten empfehlen, fürs Erste die E-Mail-Verschlüsselung mit PGP, GPG oder S/MIME einzustellen. Zwei raffinierte Methoden erlauben es Hackern unter Umständen, die Nachrichten zu entziffern.

Wer bestimmte Programme zum Ver- und insbesondere zum Entschlüsseln von E-Mails benutzt, sollte diese fürs Erste deaktivieren oder sogar deinstallieren. Das sagen mehrere europäische Sicherheitsexperten, darunter Sebastian Schinzel, Professor für Computersicherheit an der Fachhochschule Münster.

Der Grund für die Warnung: Angreifer können unter Umständen bestimmte Funktionen der betroffenen Programme ausnutzen, um abgefangene, verschlüsselte E-Mails trotz aller Sicherheitsvorkehrungen mitzulesen.

Auf Twitter kündigte Schinzel am Montagmorgen zunächst nur die Veröffentlichung "kritischer Schwachstellen in PGP/GPG und S/MIME" an. Diese ermöglichten es auch, dass früher versendete Nachrichten nun ausgelesen werden könnten. Gegen das, was er selbst unter dem Hashtag #Efail beschreibt, gebe es bisher keine Abwehrmöglichkeit, schrieb Schinzel. Das sehen aber nicht alle so.

Details veröffentlichte Schinzel am Vormittag im Netz. Demnach können sich Angreifer eine Eigenschaft bestimmter Verschlüsselungsprogramme zunutze machen, um fremde E-Mails zu entschlüsseln. Damit der Angriff klappt, müssen zwei Voraussetzungen erfüllt sein:

"Efail"-Angriffe: Der private Schlüssel bleibt beim Opfer

Auch wenn es also mögliche Angriffsszenarien gibt, kann das Prinzip der Verschlüsselung an sich so nicht geknackt werden. Außerdem gilt: Nicht alle jemals verschlüsselt verschickten Nachrichten sind nun auf einen Schlag ungeschützt.

PGP und S/MIME funktionieren mit einem System aus öffentlichen und privaten Schlüsseln. Der öffentliche Schlüssel eines Nutzers darf verbreitet und bekannt sein, mit ihm werden E-Mails an den Nutzer verschlüsselt. Er selbst entschlüsselt die Nachricht mit seinem geheimen, privaten Schlüssel, zu dem nur er selbst Zugang hat. So lange das sichergestellt ist, nützt es einem Angreifer zunächst nichts, die verschlüsselten E-Mails irgendwie abzufangen.

So trickst "Efail" die Verschlüsselung aus - Variante 1

"Efail" beschreibt aber zwei Wege, diese Sicherung auszutricksen. Der erste besteht darin, dem Opfer eine verschlüsselte Mail, die es irgendwann einmal empfangen hat oder empfangen sollte, noch einmal zu schicken - trickreich umrahmt von einem HTML-Link. Verwendet das Opfer das Enigmail-Plug-in für Thunderbird, GPGTools für Apple Mail oder Gpg4win für Microsofts Outlook, entschlüsseln diese Programme die versteckte verschlüsselte Botschaft und koppeln sie gleichzeitig mit dem HTML-Link. An den schicken sie die dann entschlüsselte Botschaft schließlich - ohne dass das Opfer irgendetwas davon bemerkt.

"Efail" betrifft in diesem Fall also nicht die Verschlüsselungsstandards PGP/GPG und S/MIME selbst, sondern Clients und Plug-ins, die den Umgang mit der Verschlüsselung erleichtern, indem sie eingehende verschlüsselte E-Mails entschlüsseln und darin eingebettete Befehle ausführen, sobald Nutzer sie anklicken.

Genauer: Problematisch ist das automatisierte Ausführen von HTML und das Nachladen externe Inhalte durch die Hilfsprogramme. Die Programme anzupassen, um den Vorgang gar nicht erst automatisiert zu starten, ist möglich - manche Clients und Erweiterungen bieten die Option schon heute. In GPGTools für Apple Mail zum Beispiel gibt in den Einstellungen die Option "Entfernte Inhalte in Nachrichten laden", wobei das "Entfernte" externe Inhalte meint. Wer hier das Häkchen entfernt, sichert sich ab.

So trickst "Efail" die Verschlüsselung aus - Variante 2

Die zweite Methode basiert auf der Manipulation der abgefangenen und erneut ans Opfer versendeten E-Mail. Vereinfacht ausgedrückt, haben Schinzel und seine Kollegen einen Weg gefunden, in einer verschlüsselten E-Mail einen neuen Befehl einzubetten. Die E-Mail wird dadurch vom Empfänger nicht nur automatisch entschlüsselt, sondern danach auch automatisch zurück an den Angreifer geschickt.

Ein gut konfiguriertes Programm würde das verhindern. Es würde die Entschlüsselung abbrechen, wenn es auf eine derart manipulierte Stelle stößt, weil die in PGP/GPG und S/MIME enthaltenen Prüfmechanismen eine Unregelmäßigkeit ergeben würden. Doch nicht alle Programme warnen ihre Nutzer in solchen Fällen. Experten streiten sich nun darüber, ob diese Angriffsmethode mit einem grundsätzlichen Update der Standards der betroffenen Software beantwortet werden sollte, weil diese den Clients bislang das Ignorieren von Unregelmäßigkeiten prinzipiell erlauben - oder ob auch für diesen Fall ein sicher konfigurierter Client ausreicht.

Ausweichoption: die App Signal

Die US-Bürgerrechtsorganisation EFF (Electronic Frontier Foundation) jedenfalls schließt sich der Warnung von Schinzel an: Nutzer des Enigmail-Plug-ins, von GPGTools sowie Gpg4win sollten diese Software deaktivieren oder sogar deinstallieren, bis die Sicherheitslücken durch Updates behoben wurden. Die EFF verlinkt hier auf entsprechende Anleitungen und empfiehlt jenen, die Ende-zu-Ende-verschlüsselt kommunizieren wollen - also durchgängig verschlüsselt über alle Übertragungsstationen hinweg - vorübergehend auf andere Kanäle auszuweichen. Als Beispiel nennt die Organisation die Messenger-App Signal.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) jedoch hält das nicht für nötig. Verschlüsselungsstandards können "weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden", heißt es auf der Website der Behörde.

Prinzipiell möglich ist auch ein Verzicht auf die automatische Entschlüsselung. Die manuelle Variante ist aber aufwendig - und E-Mail-Verschlüsselungsprogramme sind ohnehin schon vergleichsweise schwer zu bedienen.

URL:

Verwandte Artikel:

Mehr im Internet


© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung