- 17. Mai 2018 | Isabelle Lackinger | Presse
Sicherheitsforscher der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven veröffentlichten gestern einen Bericht, der die Sicherheit der Verschlüsselungsstandards PGP und S/MIME generell in Frage stellt.
Großwallstadt, 17.05.2018
Dieser Bericht fand in den Medien ein großes Echo und verleitete viele zur Aussage, dass die Verschlüsselung von Mails mit diesen beiden Verfahren nutzlos sei. Die aufgedeckten Sicherheitslücken betreffen jedoch nicht die Technologien selbst, sondern nutzen eine Schwachstelle in E-Mail-Clients aus, um den entschlüsselten Text von E-Mails dem Angreifer zuzustellen. In der Praxis kann dieser Angriff aber sehr einfach abgewehrt werden: S/MIME und PGP deshalb als nutzlos zu erklären ist daher falsch. Beide Angriffsmethoden können durch Deaktivierung des automatischen Nachladens von Links im Mailclient abgewehrt werden.
Efail einfach erklärt
Die meisten Mail-Clients laden bei Bedarf Inhalte aus dem Internet nach, damit z.B. Logos im Footer nicht mit der Mail mitgeschickt werden müssen. Dadurch werden generell Informationen aus dem Mail-Client an den Absender weitergegeben. Spammer missbrauchen dies oft, um z.B. herauszufinden, ob eine Mail dem Empfänger angezeigt wird. Dies geschieht, indem im aufgerufenen Link die Mailadresse eingebettet wird, an welche die Spam-Mail geschickt wurde.
Als Vorbedingung für Efail müssen verschlüsselte E-Mails, die von einem Angreifer entschlüsselt werden können, aktiv bei der Übertragung abgefangen oder von einem E-Mail Server gestohlen werden. Sie werden dann mittels „Direct Exfiltration“ oder „CBC/CFB Gadget“ manipuliert und an den eigentlichen Empfänger gesendet. Anstatt einen statischen Link mitzugeben, wird die verschlüsselte Nachricht im Link bzw. Bild eingebettet. Wenn der Empfänger diese eingebettete Nachricht entschlüsselt und der Mail-Client den Inhalt nachladen will, wird die entschlüsselte Nachricht im Link an den Angreifer geschickt.
„Direct Exfiltration“ –Methode
Bei dieser Methode handelt es sich um die einfachere Variante des Angriffs. Dabei wird die gesamte verschlüsselte Nachricht in den dynamischen Link verpackt, indem das Format der Mail komplett verändert wird. Der dynamische Link ist dabei nicht verschlüsselt.
fideAS® mail – Kunden sind von diesem Problem via S/MIME oder PGP/MIME nicht betroffen, da so manipulierte Nachrichten gar nicht erst entschlüsselt werden. Einzige Ausnahme: Bei der Verwendung der veralteten Methode „Inline PGP“ kann die Attacke zum Erfolg führen. Diese Technologie sollte deshalb nicht mehr verwendet werden.
„CBC/CFB Gadget“ – Methode
Diese Methode nutzt eine schon länger bekannte Designschwachstelle in den zur Verschlüsselung von Nachrichten verwendeten Technologien aus. Der Link – Teil wird dabei direkt in den verschlüsselten Daten versteckt. Damit ein Angreifer dazu in der Lage ist, muss er zumindest einen Teil der originalen E-Mail unverschlüsselt vorliegen haben. Da gewisse Teile der Nachricht statisch sind, ist dies nicht abwegig. Wenn die Mail nicht zusätzlich signiert ist, dann gibt es keine technische Möglichkeit, die Veränderung nachträglich zu erkennen. Auch hier gilt: Es wird eine Schwachstelle der Mailclients ausgenutzt die schon aus anderen Gründen (Missbrauch durch Spammer) schon längst geschlossen sein müsste. Zusätzlich zum Deaktivieren des automatischen Nachladens empfehlen wir auch die Kommunikationspartner anzuweisen, Mails zusätzlich zu signieren und natürlich auch die eigenen Mails zu signieren.
Fazit:
Die Applied Security GmbH schließt sich zum aktuellen Zeitpunkt der Einschätzung des BSI an (siehe https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/efail-schwachstellen_15052018.html). Demnach können die genannten E-Mail-Verschlüsselungsstandards weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert sind.
Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von HTML-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Die Hersteller von E-Mailclients sind hier in erster Linie in der Pflicht und haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.
Um E-Mailverschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender aktive Inhalte im E-Mailclient deaktivieren. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.
