Digitale Kommunikation: Forscher knacken PGP und S/MIME-Verschlüsselung von E-Mails

Verschlüsselte E-Mails sind nach Angaben von NDR, WDR und „Süddeutscher Zeitung“ nicht mehr sicher. Forschern der FH Münster, der Ruhr-Universität Bochum und der KU Leuven in Belgien ist es gelungen, die zwei wichtigsten Verschlüsselungsverfahren für digitale Kommunikation PGP und S/MIME zu knacken. Angreifer können verschlüsselte E-Mails demnach so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung im Klartext an sie weitergeleitet wird.

Verschlüsselte E-Mails nicht mehr sicher

„E-Mail ist kein sicheres Kommunikationsmedium mehr“, wird Professor Sebastian Schinzel von der FH Münster in der „Süddeutschen Zeitung“ zitiert. Bisher schützten Firmen über die Verschlüsselungsverfahren ihre Betriebsgeheimnisse oder schrieben Oppositionelle in Diktaturen Nachrichten, ohne dass selbst Geheimdienste mitlesen konnten. Nun könnten alle diese Nachrichten im Nachhinein entschlüsselt werden. Die Forscher haben betroffene Unternehmen wie Microsoft und Apple bereits vor Monaten informiert. Bisher gibt es allerdings noch keine Lösung für das Problem.

There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q #efail 2/4

— Sebastian Schinzel (@seecurity) 14. Mai 2018

INFO-BOX: "EFail"-Attacke
Die kompletten technischen Details zur "EFail"-Attacke können Sie mit einem Klick auf "mehr dazu" einsehen (PDF).
mehr dazu

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist in einer Stellungnahme allerdings darauf hin, dass Angreifer für die sogenannte „EFail“-Attacke Zugriff auf den Mailserver, den Transportweg oder das E-Mail-Postfach des Empfängers benötigen. Zudem müssen beim Empfänger die Ausführung von HTML-Code sowie das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Wer dies nicht zulasse oder E-Mails nicht im HTML-Format verfasse, sei von der Sicherheitslücke nicht betroffen. Die beiden Standards zur E-Mail-Verschlüsselung könnten demnach „weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden“.

Entschlüsselung extern durchführen lassen

Auch die Forscher selbst schlagen als schnelle Zwischenlösung vor, auf HTML in E-Mails zu verzichten. Zudem sollte man die Entschlüsselung nicht mehr direkt im E-Mail-Client vornehmen lassen, sondern stattdessen externe Programme verwenden. Auf lange Sicht müssten jedoch die bisherigen Verschlüsselungs-Standards angepasst werden. Am kommenden Freitag wollen die Forscher ihre Ergebnisse auf der IT Security-Konferenz „RuhrSec“ vorstellen.