PGP und S/MIME geknackt - Abschaltung der Mail-Verschlüsselung empfohlen
Quelle: Pixabay

PGP und S/MIME geknackt - Abschaltung der Mail-Verschlüsselung empfohlen

Die bekannten Mail-Verschlüsselungssysteme PGP und S/MIME sollen alles andere als sicher sein. Forschern ist es gelungen, beide Systeme zu knacken. Sie empfehlen, die Systeme im Mail-Client abzuschalten.
14. Mai 2018

     

Die beiden aktuell wohl wichtigsten E-Mail-Verschlüsselungssysteme PGP (Pretty Good Privacy) sowie S/MIME (Secure/Multipurpose Internet Mail Extensions) sind offenbar alles andere als sicher. Sicherheitsforscher der deutschen Ruhr-Universität Bochum sowie der niederländischen KU Löwen haben die beiden Systeme laut eigenen Angaben geknackt – begleitet von den deutschen TV-Stationen "NDR" und "WDR" und der "Süddeutschen Zeitung". Die Methoden, die verwendet wurden, wurden laut "SZ" von unabhängigen Experten bestätigt.


"Was die Forscher herausgefunden haben, ist so verheerend, dass das Vertrauen in verschlüsselte Mails zumindest auf absehbare Zeit verloren sein dürfte", schreibt die "SZ", und zitiert Sebastian Schinzel, Professor für Angewandte Kryptografie der FH Münster, der die Forschungen geleitet hat und als "sehr umsichtige Person" beschrieben wird, mit den Worten: "E-Mail ist kein sicheres Kommunikationsmedium mehr." Zuverlässige Methoden, um die Lücken zu flicken, gibt es laut Schinzel aktuell nicht, weshalb er all denen, die PGP und S/MIME für sensitive Konversationen nutzen, die Abschaltung der Systeme im Mail-Client empfiehlt. Man habe die Entwickler und die beteiligten Unternehmen schon vor Monaten über die gefundenen Erkenntnisse informiert, offenbar ist es bis heute nicht gelungen, die Probleme zu lösen und die Lücken zu schliessen.
Im Wesentlichen funktioniere laut "SZ" ein Angriff so, dass ein abgefangener, verschlüsselter Text (Cyphertext) präpariert an den ursprünglichen Empfänger geschickt wird – versteckt in einer unverfänglichen Mail. Wird diese Mail geöffnet, wird vom Empfängerrechner, auf dem der für die Entschlüsselung nötige private Schlüssel liegt, automatisch auch der Cyphertext entschlüsselt und an eine vom Angreifer kontrollierte Site geschickt. Das bedeutet also, dass zwei Bedingungen erfüllt sein müssen. Der Angreifer braucht den Cyphertext und das Mail-Programm des Empfängers lässt HTML zu, so dass Inhalt aus dem Internet nachgeladen werden kann.


Details dazu, wie die Verschlüsselungssysteme im Detail ausgehebelt wurden, wollen die Forscher dann Ende dieser Woche an einer Fachkonferenz in Bochum veröffentlichen. (mw)


Weitere Artikel zum Thema

Outlook-Sicherheitslücke führt zu Klartext in verschlüsselten Mails

11. Oktober 2017 - Microsofts Mailsoftware Outlook hat offenbar per S/MIME verschlüsselte Mails nicht korrekt verschlüsselt, wodurch diese Klartext enthalten haben könnten.

PGP-Erfinder kommt mitsamt seiner Firma in die Schweiz

28. Mai 2015 - Philip Zimmermann, der Erfinder der Verschlüsselungs-Lösung PGP, zieht aus den USA in die Schweiz – und zwar mitsamt seiner Firma Silent Circle.

Schlüssel ohne Server

15. Mai 2009 - PGP hat ein serve-lose Verschlüsselungs-lösung für KMU lanciert, welche sich durch einfache Bedienung auszeichnet.

Kommentare
Naja, bis man eine Alternative gefunden hat, um sicher Mailen zu können, muss man sich wohl mit sicheren Messengern abtun. Die meisten davon (natürlich ohne WhatsApp oder Telegram) wurden noch nicht geknackt. Mein persönlicher Favorit ist Threema- es gibt aber auch andere. Das ist Geschmackssache. Übrigens ist das Paper dazu bereits veröffentlicht worden.
Montag, 14. Mai 2018, Herr M



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER