PGP und S/MIME geknackt - Abschaltung der Mail-Verschlüsselung empfohlen

PGP und S/MIME geknackt - Abschaltung der Mail-Verschlüsselung empfohlen

PGP und S/MIME geknackt - Abschaltung der Mail-Verschlüsselung empfohlen

(Quelle: Pixabay)
14. Mai 2018 -  Die bekannten Mail-Verschlüsselungssysteme PGP und S/MIME sollen alles andere als sicher sein. Forschern ist es gelungen, beide Systeme zu knacken. Sie empfehlen, die Systeme im Mail-Client abzuschalten.
Die beiden aktuell wohl wichtigsten E-Mail-Verschlüsselungssysteme PGP (Pretty Good Privacy) sowie S/MIME (Secure/Multipurpose Internet Mail Extensions) sind offenbar alles andere als sicher. Sicherheitsforscher der deutschen Ruhr-Universität Bochum sowie der niederländischen KU Löwen haben die beiden Systeme laut eigenen Angaben geknackt – begleitet von den deutschen TV-Stationen "NDR" und "WDR" und der "Süddeutschen Zeitung". Die Methoden, die verwendet wurden, wurden laut "SZ" von unabhängigen Experten bestätigt.

"Was die Forscher herausgefunden haben, ist so verheerend, dass das Vertrauen in verschlüsselte Mails zumindest auf absehbare Zeit verloren sein dürfte", schreibt die "SZ", und zitiert Sebastian Schinzel, Professor für Angewandte Kryptografie der FH Münster, der die Forschungen geleitet hat und als "sehr umsichtige Person" beschrieben wird, mit den Worten: "E-Mail ist kein sicheres Kommunikationsmedium mehr." Zuverlässige Methoden, um die Lücken zu flicken, gibt es laut Schinzel aktuell nicht, weshalb er all denen, die PGP und S/MIME für sensitive Konversationen nutzen, die Abschaltung der Systeme im Mail-Client empfiehlt. Man habe die Entwickler und die beteiligten Unternehmen schon vor Monaten über die gefundenen Erkenntnisse informiert, offenbar ist es bis heute nicht gelungen, die Probleme zu lösen und die Lücken zu schliessen.
Im Wesentlichen funktioniere laut "SZ" ein Angriff so, dass ein abgefangener, verschlüsselter Text (Cyphertext) präpariert an den ursprünglichen Empfänger geschickt wird – versteckt in einer unverfänglichen Mail. Wird diese Mail geöffnet, wird vom Empfängerrechner, auf dem der für die Entschlüsselung nötige private Schlüssel liegt, automatisch auch der Cyphertext entschlüsselt und an eine vom Angreifer kontrollierte Site geschickt. Das bedeutet also, dass zwei Bedingungen erfüllt sein müssen. Der Angreifer braucht den Cyphertext und das Mail-Programm des Empfängers lässt HTML zu, so dass Inhalt aus dem Internet nachgeladen werden kann.

Details dazu, wie die Verschlüsselungssysteme im Detail ausgehebelt wurden, wollen die Forscher dann Ende dieser Woche an einer Fachkonferenz in Bochum veröffentlichen. (mw)
Weitere Artikel zum Thema
 • Outlook-Sicherheitslücke führt zu Klartext in verschlüsselten Mails
 • PGP-Erfinder kommt mitsamt seiner Firma in die Schweiz
 • Schlüssel ohne Server

Vorherige News
 
Nächste News

Kommentare

Montag, 14. Mai 2018 Herr M
Naja, bis man eine Alternative gefunden hat, um sicher Mailen zu können, muss man sich wohl mit sicheren Messengern abtun. Die meisten davon (natürlich ohne WhatsApp oder Telegram) wurden noch nicht geknackt. Mein persönlicher Favorit ist Threema- es gibt aber auch andere. Das ist Geschmackssache. Übrigens ist das Paper dazu bereits veröffentlicht worden.

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2018/07
Schwerpunkt: Unified Communication
• Der Wunsch als Vater des Gedankens
• Viel Potential mobiler UC-Lösungen bleibt ungenutzt
• Digitale Assistenten für smarte Meetings
• Marktübersicht: Die Telefonanlage wird virtuell
• Unternehmens­kommunikation in Zeiten von All IP
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER