Partner von:
Anzeige

PGP und S/Mime: Forscher entdecken Sicherheitslücke bei Verschlüsselungstechnik

Sicherheitslücke bei Verschlüsselung von E-Mails mit PGP und S/Mime
Sicherheitslücke bei Verschlüsselung von E-Mails mit PGP und S/Mime

Forscher der FH Münster und der Ruhr-Uni haben eine Entdeckung gemacht, die weitreichende Folgen auch für die gesicherte Kommunikation von Journalisten mit ihren Quellen haben könnte. Die Wissenschaftler belegen, dass die beiden Technologien zum Verschlüsseln von E-Mails, PGP und S/Mime, nicht so sicher sind, wie bislang angenommen.

Anzeige
Anzeige

“Richtig eingestellte kryptografische Verfahren gehören zu den wenigen Dingen, auf die man sich verlassen kann”, sagte der Whistleblower Edward Snowden einmal nachdem der Spiegel von ihm zugespielte Dokumente veröffentlicht hatte, in denen ersichtlich wurde, dass die NSA eine verschlüsselte E-Mail nicht lesen konnte. Das gehört nun der Vergangenheit an. Die beiden verbreitetsten Verschlüsselungsverfahren PGP und S/Mime sind laut einem Forscherteam der FH Münster, der Ruhr-Universität Bochum und der KU Löwen in den Niederlanden nicht sicher. Das berichtet der Rechercheverbund bestehend aus NDR, WDR und Süddeutscher Zeitung.

Herkömmliche E-Mails, die sowieso schlechter geschützt sind, betrifft die Sicherheitslücke nicht. Sie werden im besten Fall während des Versands verschlüsselt. Auf dem Mailserver liegt die E-Mail aber im Klartext. Anders als bei einer, die mit PGB beziehungsweise S/Mime verschlüsselt wurde. Bekommen Unbefugte Zugriff, sehen sie nur einen sogenannten Ciphertext. Das ist eine wirr angeordnete Zeichenfolge. Bei den beiden Verschlüsselungstechnologien werden pro E-Mail-Adresse zwei Schlüssel generiert, von denen einer öffentlich ist und der andere geheim auf dem Computer aufbewahrt wird. Bisher dachte man, dass die Nachricht geschützt ist, solange der Schlüssel es auch ist.

Dem ist aber nicht so wie die Forschergruppe um Sebastian Schinzel herausgefunden hat. Es gibt zwei Voraussetzungen damit der Angriff gelingt. Zum Einen müssen die Hacker den Ciphertext besitzen. Zum anderen muss das E-Mail-Programm des Empfängers HTML unterstützen. Grund ist, dass die Hacker nun eine belanglos ausschauende, aber präparierte E-Mail versenden. In der Mail, so erklärt es die Süddeutsche Zeitung, ist dann der Ciphertext versteckt. Öffnet der Empfänger die Nachricht, entdeckt der Computer diesen und entziffert ihn. Der Privatschlüssel ist ihm ja bekannt. Die E-Mail ist aber so gebaut, dass der Text nun an eine Seite verschickt wird, die die Hacker einsehen können.

Die Schwachstelle ist also nicht PGP und S/Mime selbst, sondern die Plug-Ins, die die Benutzung erleichtern. Es wird daher empfohlen diese zu deaktivieren. Es ist auch möglich, verschlüsselte E-Mails ohne die Zusatzprogramme zu entschlüsseln, schreibt Spiegel Online. Dafür muss der Ciphertext in eine Textdatei eingefügt werden, damit er durch Befehle über die Kommandozeile entschlüsselt werden könne. Dadurch wird die Benutzung der Verschlüsselungstechnologie aber noch aufwendiger.

Anzeige

Besonders verheerend ist die Entdeckung der Forscher für Journalisten, Aktivisten und Anwälte, die mit PGP und S/Mime oft brisante Informationen zugeschickt bekommen

Schinzel hatte den Entwicklern mehrere Monate Zeit gegeben, um die Sicherheitslücke zu schließen, schreibt die SZ. Das Problem sei aber zu groß gewesen. Er kündigte via Twitter nähere Informationen für Dienstagmorgen an.

Keine Neuigkeiten aus der Medien-Branche mehr verpassen: Abonnieren Sie kostenlos die MEEDIA-Newsletter und bleiben Sie über alle aktuellen Entwicklungen auf dem Laufenden.

Anzeige

Mehr zum Thema

Anzeige
Anzeige
Meedia

Meedia