News

Mit PGP oder S/MIME verschlüsselte E-Mails sind nicht mehr sicher

Wichtige Kommunikation, zum Beispiel in Unternehmen, sollte verschlüsselt werden. Auch Journalisten und Informanten sind auf sichere Kommunikationswege angewiesen. Bisher waren das die beiden E-Mail Verschlüsselungsmethoden S/MIME und PGP auch. Doch nun haben Forscher, begleitet von der Süddeutschen Zeitung, dem NDR und WDR, demonstriert, wie beide Verschlüsselungsmethoden auf zwei unabhängige Weisen ausgehebelt werden können.

Die erfolgreichen Angriffe greifen allerdings nicht die Verschlüsselung direkt an, sondern eher die Software in die sie implementiert ist: Den Mailclienten. Dabei machen sich die Angreifer zu Nutzen, dass die meisten E-Mails mittlerweile HTML-Code in sich tragen und die Mailprogramme daher diesen auch verstehen und ausführen.

Der Angriff

Die Forscher schicken eine eigentlich harmlos wirkende E-Mail im Klartext an die anzugreifende Person und betten den zuvor erbeuteten Ciphertext unsichtbar in die E-Mail ein. Das Opfer sieht den Text nicht, aber das Mailprogramm schon. Dieses erkennt eine bekannte Verschlüsselung und beginnt, den Text zu entschlüsseln, ganz automatisch. Dadurch, dass die E-Mail mit HTML geschrieben ist, können die Angreifer nun über einen eigenen Webserver den entschlüsselten Text der E-Mail abgreifen und haben somit die eigentlich wirksame Verschlüsselung ausgehebelt.

Das perfide an diesem Angriff ist, dass dieser für nahezu jede in der Vergangenheit verschickte E-Mail angewendet werden kann. Bis dato galt vor allem das von Whistleblower Edward Snowden empfohlene PGP als sicher, da nicht mal die NSA es geschafft hatte, die Verschlüsselungsmethode zu knacken. Jetzt müssen geneigte Heimlichtuer, Informanten, Journalisten und Verantwortungsträger der Wirtschaft wohl auf andere Kommunikationswege und Verschlüsselungsmethoden setzen.


Quelle: Süddeutsche Zeitung

Vorheriger Artikel

#Beste: Briten ohne Kreditkarte müssen bald offline einen Pornopass kaufen

Nächster Artikel

Snip Insights: Diese neue Microsoft-App nutzt KI, um Fotos komplett auszulesen

Der Autor

Tomás Freres

Tomás Freres

1
Hinterlasse einen Kommentar

avatar
1 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
1 Comment authors
Kurt Roth Recent comment authors
  Diskussion abonnieren  
neuste älteste beste Bewertung
Benachrichtige mich zu:
Kurt Roth
Gast
Kurt Roth

Ich finde die Empfehlungen, die von Experten zur Umgehung des Problems angegeben werden, irgendwie komisch. Man sollte auf keinen Fall PGP deaktivieren. Eine korrekte Empfehlung wäre: Einen Client verwenden, der HTML nicht rendert und keine externen Referenzen lädt
Auch die Empfehlung (von Heise) Signal zu verwenden scheint mir momentan etwas Zwielichtig, da Signal mit einem Sicherheitsproblem (Electron) auf dem Desktop-Client zu kämpfen hat. Hier hätte Threema wohl besser gepasst.