Schwachstelle in E-Mail-Verschlüsselungstechnik gefunden

14 Mai 2018

Forscher haben eine Schwachstelle in den gebräuchlichsten Techniken zur E-Mail-Verschlüsselung gefunden: PGP und S/MIME. Diese Ankündigung wurde unter dem Namen EFAIL veröffentlicht. Sie können S/MIME weiterhin für verschlüsselte E-Mails verwenden, es empfiehlt sich jedoch, einige Einstellungen in Ihrer E-Mail-Software anzupassen und sie so bald wie möglich zu aktualisieren.

Was bedeutet die Schwachstelle?

Die veröffentlichten Informationen zeigen, dass durch das Abfangen einer verschlüsselten E-Mail-Nachricht und das anschließende Senden einer HTML-E-Mail an den Empfänger, in dem diese verschlüsselte Nachricht enthalten ist, der verschlüsselte Inhalt dieser Nachricht im Klartext sichtbar ist.

Was ist E-Mail-Verschlüsselung?

Die digitale Signatur und Verschlüsselung von E-Mails verhindert, dass Dritte E-Mails abfangen, lesen und ändern können. Für den Empfänger garantiert eine signierte und verschlüsselte E-Mail, dass die Nachricht unverändert ist und vom tatsächlichen Absender stammt. Verfügt der Empfänger auch über ein Zertifikat, können Sie eine verschlüsselte E-Mail senden, die nur vom Empfänger mit seinem Zertifikat gelesen werden kann. S/MIME verwendet zu diesem Zweck digitale (kommerzielle) Zertifikate. PGP ist eine weit verbreitete Open-Source-Alternative. Beide Techniken verwenden öffentliche und private Schlüssel basierend auf asymmetrischer Kryptographie: Der Absender verschlüsselt eine E-Mail-Nachricht mit dem öffentlich verfügbaren Schlüssel des Empfängers, und der Empfänger kann die Nachricht dann mit dem entsprechenden privaten Schlüssel entschlüsseln und lesen.

Welche Auswirkungen hat diese Sicherheitsanfälligkeit?

Verschiedene Institutionen, einschließlich der EFF (Electronic Frontier Foundation), raten, die Verwendung von PGP für die E-Mail-Verschlüsselung vollständig zu deaktivieren, um das Missbrauchsrisiko zu vermeiden. Allerdings bedeutet dies, dass Sie Ihre E-Mails vollständig unverschlüsselt zu senden, anstatt zu verschlüsseln und möglicherweise abgefangen werden und zu knacken. Die vollständige Deaktivierung von PGP oder S/MIME ist unserer Meinung nach weniger sicher. Der Grad der Anfälligkeit hängt auch vom verwendeten e-Mail-Client ab: Apple Mail (MacOS), Mail app (IOS), Thunderbird (Windows, MacOS, Linux), Mailbox (Windows) und Mail-Mate (MacOS) sind besonders anfällig, da diese Clients automatisch Bilder anzeigen.

Was können Sie tun?

Zur Zeit gibt es keine konkrete Lösung. Die Auswirkungen des entdeckten Lecks sind jedoch minimal, da ein Angreifer zuerst eine verschlüsselte E-Mail abfangen muss. Bis ein Patch verfügbar wird, können Sie das Risiko einschränken, indem Sie einen sichereren E-Mail-Client verwenden oder die Einstellungen ändern:

• Unter anderem missbraucht EFAIL die aktiven Inhaltsfunktionen von E-Mail-Clients. Durch Ausschalten der HTML-Ansicht in Ihrem E-Mail-Client ist das Missbrauchsrisiko erheblich eingeschränkt.
• Die Schwachstelle tritt auf, wenn eine E-Mail-Nachricht automatisch von Ihrem E-Mail-Client entschlüsselt wird. Wenn Sie die automatische Entschlüsselung deaktivieren, sodass die Entschlüsselung von einer separaten Anwendung ausgeführt wird, sind Sie nicht anfällig. Entfernen Sie dazu die privaten Schlüssel für Ihres Zertifikates von Ihrem E-Mail-Client.

Betrifft EFAIL andere Produkte?

Nur E-Mail Zertifikate verwenden S/MIME zum Signieren und Verschlüsseln. Für SSL Zertifikate und digitale Signaturen für Software und PDF-Signaturen werden auch öffentliche und private Schlüssel verwendet, nicht jedoch S/MIME. Für diese Zertifikate hat die gefundenen Schwachstelle keine Konsequenzen.

Haben Sie Fragen oder benötigen Sie Hilfe? Bitte kontaktieren Sie unsere Support-Abteilung unter +31 88 775 775 1 oder auf support@xolphin.com