Wichtige Kommunikation, zum Beispiel in Unternehmen, sollte verschlüsselt werden. Auch Journalisten und Informanten sind auf sichere Kommunikationswege angewiesen. Bisher waren das die beiden E-Mail Verschlüsselungsmethoden S/MIME und PGP auch. Doch nun haben Forscher, begleitet von der Süddeutschen Zeitung, dem NDR und WDR, demonstriert, wie beide Verschlüsselungsmethoden auf zwei unabhängige Weisen ausgehebelt werden können.
Die erfolgreichen Angriffe greifen allerdings nicht die Verschlüsselung direkt an, sondern eher die Software in die sie implementiert ist: Den Mailclienten. Dabei machen sich die Angreifer zu Nutzen, dass die meisten E-Mails mittlerweile HTML-Code in sich tragen und die Mailprogramme daher diesen auch verstehen und ausführen.
Der Angriff
Die Forscher schicken eine eigentlich harmlos wirkende E-Mail im Klartext an die anzugreifende Person und betten den zuvor erbeuteten Ciphertext unsichtbar in die E-Mail ein. Das Opfer sieht den Text nicht, aber das Mailprogramm schon. Dieses erkennt eine bekannte Verschlüsselung und beginnt, den Text zu entschlüsseln, ganz automatisch. Dadurch, dass die E-Mail mit HTML geschrieben ist, können die Angreifer nun über einen eigenen Webserver den entschlüsselten Text der E-Mail abgreifen und haben somit die eigentlich wirksame Verschlüsselung ausgehebelt.
Das perfide an diesem Angriff ist, dass dieser für nahezu jede in der Vergangenheit verschickte E-Mail angewendet werden kann. Bis dato galt vor allem das von Whistleblower Edward Snowden empfohlene PGP als sicher, da nicht mal die NSA es geschafft hatte, die Verschlüsselungsmethode zu knacken. Jetzt müssen geneigte Heimlichtuer, Informanten, Journalisten und Verantwortungsträger der Wirtschaft wohl auf andere Kommunikationswege und Verschlüsselungsmethoden setzen.
Quelle: Süddeutsche Zeitung
Ich finde die Empfehlungen, die von Experten zur Umgehung des Problems angegeben werden, irgendwie komisch. Man sollte auf keinen Fall PGP deaktivieren. Eine korrekte Empfehlung wäre: Einen Client verwenden, der HTML nicht rendert und keine externen Referenzen lädt
Auch die Empfehlung (von Heise) Signal zu verwenden scheint mir momentan etwas Zwielichtig, da Signal mit einem Sicherheitsproblem (Electron) auf dem Desktop-Client zu kämpfen hat. Hier hätte Threema wohl besser gepasst.