Die beiden aktuell wohl wichtigsten E-Mail-Verschlüsselungssysteme PGP (Pretty Good Privacy) sowie S/MIME (Secure/Multipurpose Internet Mail Extensions) sind offenbar alles andere als sicher. Sicherheitsforscher der deutschen Ruhr-Universität Bochum sowie der niederländischen KU Löwen haben die beiden Systeme laut eigenen Angaben geknackt – begleitet von den deutschen TV-Stationen "NDR" und "WDR" und der "Süddeutschen Zeitung". Die Methoden, die verwendet wurden, wurden
laut "SZ" von unabhängigen Experten bestätigt.
"Was die Forscher herausgefunden haben, ist so verheerend, dass das Vertrauen in verschlüsselte Mails zumindest auf absehbare Zeit verloren sein dürfte", schreibt die "SZ", und zitiert Sebastian Schinzel, Professor für Angewandte Kryptografie der FH Münster, der die Forschungen geleitet hat und als "sehr umsichtige Person" beschrieben wird, mit den Worten: "E-Mail ist kein sicheres Kommunikationsmedium mehr." Zuverlässige Methoden, um die Lücken zu flicken, gibt es
laut Schinzel aktuell nicht, weshalb er all denen, die PGP und S/MIME für sensitive Konversationen nutzen, die Abschaltung der Systeme im Mail-Client empfiehlt. Man habe die Entwickler und die beteiligten Unternehmen schon vor Monaten über die gefundenen Erkenntnisse informiert, offenbar ist es bis heute nicht gelungen, die Probleme zu lösen und die Lücken zu schliessen.
Im Wesentlichen funktioniere laut "SZ" ein Angriff so, dass ein abgefangener, verschlüsselter Text (Cyphertext) präpariert an den ursprünglichen Empfänger geschickt wird – versteckt in einer unverfänglichen Mail. Wird diese Mail geöffnet, wird vom Empfängerrechner, auf dem der für die Entschlüsselung nötige private Schlüssel liegt, automatisch auch der Cyphertext entschlüsselt und an eine vom Angreifer kontrollierte Site geschickt. Das bedeutet also, dass zwei Bedingungen erfüllt sein müssen. Der Angreifer braucht den Cyphertext und das Mail-Programm des Empfängers lässt HTML zu, so dass Inhalt aus dem Internet nachgeladen werden kann.
Details dazu, wie die Verschlüsselungssysteme im Detail ausgehebelt wurden, wollen die Forscher dann Ende dieser Woche an einer Fachkonferenz in Bochum veröffentlichen.
