Efail: FH Münster findet Lücken bei PGP und S-MIME

Die Fachhochschule Münster hat einen genaueren Blick auf die Standards und deren konkrete Umsetzungen bei der Email-Verschlüsselung mit PGP und S/MIME geworfen und kam dann zu einem vernichtenden Urteil:

S/MIME und auch OpenPGP können die Sicherheit von verschlüsselt versandten Nachrichten nicht wirklich ausreichend sicherstellen. Angreifer, die die verschlüsselt verschickten Emails abfangen und manipulieren können, können sich darüber auch Zugang zumindest zu Teilen des Klartexts der Nachricht verschaffen, warnen die Experten von der FH Münster rund um Sebastian Schinzel.

Von dem inzwischen im Netz “Efail” genannten Problem sind praktisch alle Email-Programme betroffen, die eine Email-Verschlüsselung umsetzen – von Microsoft Outlook und Windows Mail bis hin zu Mozilla Thunderbird und Apple Mail.

PGP und S/MIME unrettbar kaputt?

Ganz besonders gefährlich ist das bei dem vor allem im Firmenumfeld eingesetzten S/MIME, wobei die Forscher aus Münster letztlich diesen Standard als „unrettbar kaputt“ erklären.

Aber auch das aus der Graswurzelbewegung kommende PGP weist gravierende Probleme auf, die sich für ganz konkrete Angriffen ausnutzen lassen. Hier besteht aber noch die Hoffnung, dass die Probleme durch Updates der Hersteller von OpenPGP-Erweiterungen wie zum Beispiel Enigmail mittelfristig wieder entschärft werden können.

Vorbeugende Maßnahmen helfen ein wenig

Als Schutz gegen Efail kann man in der aktuellen Situation im Grunde nur auf das Versenden sehr brisanter Informationen per Email verzichten. Andere Kenner der Materie sehen das aber nicht ganz so definitiv…

Allerdings können vorbeugende Maßnahmen wie beispielsweise das Deaktivieren der Anzeige von HTML und des Nachladen externer Elemente (Grafiken) entschärfen die Probleme deutlich. Das empfiehlt deshalb auch schon der GnuPG-Autor Werner Koch in einer ersten Stellungnahme.

Andere Stimmen wiederum empfehlen die Ende-zu-Ende-Verschlüsselung des aus Sicherheitsgründen besonders in Sicherheitsabteilungen beliebten Messengers Signal. Die setzt nämlich, anders als OpenPGP und S/MIME, die nötige Kryptografie nach dem aktuellen Stand der Technik um und ist damit vor den bei Email jetzt diagnostizierten Problemen sicher.

Nebenbei gesagt: Man kann mit Signal auch Dateien gesichert übertragen…

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Programmierung, Sicherheit, Soziales, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

This site uses Akismet to reduce spam. Learn how your comment data is processed.