Erläuterung: S/MIME und PGP sind Verschlüsselungsmethoden um z.B.: E-Mails sicher zu verschicken. Dabei wird sicher gestellt, dass nur der Empfänger der E-Mail den Inhalt lesen kann.
In den letzten Tagen wurde in den Medien der Fokus wieder auf E-Mail Verschlüsselung gelegt. Sie erinnern sich vielleicht daran, dass damals auf die Idee gekommen wurde, die elektronischen Postkarten, auch E-Mail genannt, zu verschlüsseln, damit nicht jeder Postbote (= der E-Mail Server) mitlesen kann. Heute ist die Technologie schon über 15 Jahre alt und hat sich leider nicht durchgesetzt.
E-Mail Verschlüsselung
Die Idee ist gut – aber nicht praktikabel. Eine sichere Verschlüsselung basiert immer auf dem Austausch von Schlüsseln – und genau das stellt dem Ottonormalverbraucher vor enorme Probleme. Er muss sich einen Schlüssel erstellen, diesen mit seinen Kontakten teilen und vor allem darf er diesen nicht verlieren, wenn er seine E-Mails auch in ein paar Jahren noch lesen will. Zu guter Letzt muss dieser Schlüssel auf jedem Gerät eingespielt werden mit dem E-Mail gelesen oder geschrieben werden.
Und hier trennt sich dann schon technologisch die Spreu vom Weizen. Die gänigen Endgeräte und Clients unterstützen nativ nur S/MIME und kein PGP. Dabei ist die PGP zugrundeliegende Infrastruktur und Technologie erheblich besser. Über zentrale Schlüsselserver kann jeder Teilnehmer seinen öffentlichen Schlüssel anderen zur Verfügung stellen. Bei S/MIME muss ich zunächst unverschlüsselte E-Mails austauschen um die Schlüssel zu übertragen.
Efail
Mit Efail wurde nun eine große Lücke in der Implementierung von S/MIME und PGP bekanntgegeben. Eine der wichtigsten Informationen zu diesem Thema ist: die Verschlüsselung wurde nicht geknackt! Aber: Efail beschreibt Möglichkeiten, den entschlüsselten Inhalt von E-Mails abzugreifen.
Die Entschlüsselung erfolgt aber immer noch durch den Empfänger und seinen privaten Schlüssel. Aber erst dann, wenn der eigentliche Empfänger die E-Mail öffnet, kann der Hacker auf die Inhalte zugreifen. Im Internet findet man diverse Artikel, die dazu aufrufen E-Mails nicht mehr zu verschlüsseln da es jetzt „unsicher“ wäre, verstehen kann man diesen Ansatz nicht. Denn ein bisschen Schutz ist immer besser als keiner.
Was genau macht Efail?
Sie kennen doch sicher den Dialog: „Wollen Sie externe Inhalte nachladen?“ in Outlook um Bilder in Newslettern angezeigt zu bekommen? – Super!
Genau diese Funktion nutzt Efail aus. Efail manipuliert die E-Mail auf dem Transportweg (immer daran denken, dass E-Mails wie Postkarten sind) und gaukelt dem E-Mail Programm vor, dass die gesamte E-Mail ein großes Bild wäre, welches nachgeladen werden müsste. In dem Moment wo dies geschieht, entweder automatisch oder durch einen Klick auf „externe Inhalte laden“ wird der gesamte, entschlüsselte Nachrichtentext als Anfrage an einen Server übertragen.
Zusammengefasst: Sie entschlüsseln die E-Mail auf Ihrem Endgerät und anschließend wird der Inhalt übertragen. So als würde Ihnen jemand beim Lesen über die Schulter gucken.
Neben dieser einfachen Methode gibt es noch eine weitaus komplexere Methode, die sogenannte CBC/CFB Gadget Attack. Aber auch hier geht es nur darum den von Ihnen entschlüsselten Inhalt abzugreifen.
Können Sie sich schützen?
Sollten Sie einer der wenigen Nutzer von PGP oder S/MIME sein, können Sie sich natürlich gegen diese Angriffe schützen. Die einfachste Methode ist, in Ihrem E-Mail Client das Nachladen von externen Inhalten zu deaktivieren.
Außerdem sollten Sie, solange die Lücke nicht durch Updates behoben wurde, ein externes Tool zum Entschlüsseln nutzen.
Übrigens…
Sind Sie DME Kunde und nutzen die S/MIME Integration? Dann sind Sie auf der sicheren Seite. DME erlaubt die Attacke nicht und schützt Ihre Daten.
In DME 5.1 werden wir zusätzlich zwei neue Konfigurationsoptionen einführen, um den Download von externen Inhalten in verschlüsselten E-Mails zu verhindern.
- “Download externer Inhalte in verschlüsselten E-Mails”, An/Aus, Standardwert “Aus”.
- “Erlaube das öffnen von Links aus verschlüsselten E-Mails im Browser”, An/Aus, Standardwert “Aus”
Weiterführende Informationen:
CVE-2017-17688: OpenPGP CFB gadget attacks
CVE-2017-17689: S/MIME CBC gadget attacks