Jetzt auch mobil Kommentieren!

"Verheerende" Folgen: PGP-verschlüsselte Mails sind nicht länger sicher

Von Witold Pryjda am 14.05.2018 13:08 Uhr
61 Kommentare
Es wird heutzutage immer wieder der Begriff Security-Super-GAU verwendet, im aktuellsten Fall kann man aber wohl tatsächlich davon sprechen (sieht man davon ab, dass er eigentlich an Atomkraft geknüpft ist): Denn heute wurde bekannt, dass zwei bisherige Eckpfeiler der privaten Sicherheit, PGP und S/MIME, völlig unsicher sind.

So funktioniert PGP

Pretty Good Bad Privacy

PGP, kurz für Pretty Good Privacy, ist das wohl bekannte Verschlüsselungssystem für Privatanwender, das von Phil Zimmermann geschriebene Programm galt bisher als zuverlässiger Schutz vor allem für E-Mails. Doch offenbar muss man PGP nun in PBP umbenennen: Pretty Bad Privacy, also ziemlich schlechte Privatsphäre. Ähnliches gilt für das hybride Kryptosystem S/MIME (Secure/Multipurpose Internet Mail Extensions).

Denn deutsche und niederländisch-belgische Sicherheitsforscher - ein Team der FH Münster, der Ruhr-Universität Bochum sowie der KU Löwen in Belgien - haben einen Weg gefunden beide Verschlüsselungssysteme auszuhebeln. Unter der Leitung von Sebastian Schinzel, Professor für angewandte Kryptografie, begleitet von der Süddeutschen Zeitung sowie dem NDR und WDR, ist es den Krypto-Experten gelungen, PGP und S/MIME zu knacken.

Laut SZ wurden die gefundenen Methoden von unabhängigen Experten bestätigt, die Zeitung spricht von "verheerenden" Funden und dass "das Vertrauen in verschlüsselte Mails zumindest auf absehbare Zeit" verloren sei.


Bei beiden Verschlüsselungsmethoden werden zwei Schlüssel erzeugt, ein öffentlicher und ein privater. Letzterer ist nur auf der Festplatte des jeweiligen Nutzers zu finden und ohne diesen lässt sich eine abgefangene Mail auch nicht knacken.

Voraussetzung: Cipher und HTML

Doch was bisher der mächtigen NSA nicht gelang, haben nun die europäischen Sicherheitsforscher geschafft. Details wollen sie Ende der Woche in Bochum präsentieren. Nach bisherigen Informationen funktioniert das über einen in einer herkömmlichen Mail versteckten Ciphertext. Dieser ist vom Nutzer an sich nicht erkennbar, sehr wohl aber vom Rechner. Dieser entschlüsselt dann auch bereitwillig den Cipher und so gelangt ein Angreifer an den entzifferten Text, dieser kann dann an eine von einem möglichen Angreifer kontrollierte Seite verschickt werden.

Voraussetzung sind der Ciphertext und die Erlaubnis des Mail-Programms zu HTML. Das Protokoll ist nämlich notwendig, um Dateien aus dem Internet nachladen zu können - etwa ein Firmenlogo für eine Signatur.

Die Sicherheitsforscher haben alle beteiligten Firmen und Entwickler schon vor Monaten über ihre anstehende Enthüllung in Kenntnis gesetzt, doch nicht alle haben es bisher geschafft diese Lücke zu schließen. Einen zuverlässigen allgemein Fix gibt es laut Schinzel derzeit nicht. Er rät wie die Electronic Frontier Foundation (EFF) PGP-Nutzern deshalb derzeit dazu, diese Verschlüsselung bis auf Weiteres komplett zu deaktivieren und bei Bedarf auf sichere Messenger wie Signal zurückzugreifen.
whatsapp
Jede Woche neu: Top-News per E-Mail
61 Kommentare lesen & antworten
Hoch © 2000 - 2018 WinFuture Impressum Datenschutz