EFAIL: Sicherheitslücken in und um GPG und S/MIME

15.05.2018

Neu entdeckte Sicherheitslücken machen den Einsatz von PGP und S/MIME potenziell unsicher. 

Security-Experten haben neue Sicherheitslücken rund um PGP und S/MIME entdeckt und unter dem Namen EFAIL veröffentlicht. Gefunden hat sie eine Gruppe rund um Sebastian Schinzel, Professor für Angewandte Kryptografie der FH Münster, der die neuen Erkenntnisse mit drastischen Worten kommentiert: "E-Mail ist kein sicheres Kommunikationsmedium mehr." 

Tatsächlich bezieht sich die eine Gruppe der Sicherheitslücken nur auf HTML-E-Mails und die teilweise automatische Entschlüsselung durch Clients wie Apple Mail und andere. In diesem Fall ist es möglich, dass Angreifer verschlüsselten Text in HTML-Abschnitten verstecken, sodass er nicht sichtbar ist, vom Client aber entschlüsselt und über ein HTML-Tag im Klartext an den Server des Angreifers übermittelt wird. Wie hier zu sehen ist, müssen einige Voraussetzungen erfüllt sein, damit ein solcher Angriff gelingen kann. Ein wirksames Gegenmittel ist es, die Anzeige von HTML-Mails in Clients zu deaktivieren. Dies funktioniert zumindest bei GPG-verschlüsselten Mails; bei S/MIME stehen Angreifern unter Umständen als Rückkanal noch OCSP-Verbindungen zur Verfügung. 

Laut dem EFAIL-Paper weisen 25 von 35 der getesteten Mail-Clients die Sicherheitslücken mit S/MIME auf, und 10 von 28 getesteten Clients mit OpenPGP.

Ein zweites aufgedecktes Problem ist die (meistens) fehlende Authentifizierung von PGP und S/MIME. Deshalb können Angreifer theoretisch eigene Informationen in Kryptotext einschleusen, der wiederum über HTML-Mails das Ausschleusen entschlüsselter Informationen ermöglicht. PGP bietet zumindest prinzipiell einen Authentifizierungsmechanismus, der aber in der Praxis kaum verwendet wird. Mehr Informationen über die PGP-Authentifizierung mit MDC (Modification detection Code) gibt der GnuPG-Autor Werner Koch in einer E-Mail

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite