PGP deaktivieren: Sicherheitslücke legt verschlüsselte Mails offen

Eine schwere Sicherheitslücke ermöglicht es Angreifern, mithilfe von PGP, GPG oder S/MIME verschlüsselte E-Mails im Klartext zu lesen. Das hat ein Team an Sicherheitsforschern entdeckt, die an den Universitäten Münster, der Ruhr-Universität Bochum sowie der belgischen Universität KU Leuven tätig sind.

Sowohl die Sicherheitsforscher als auch die auf Datenschutz spezialisierte US-NGO EFF (Electronic Frontier Foundation) empfehlen daher, „sofort jegliche Tools zu deaktivieren oder deinstallieren, die automatisiert PGP-verschlüsselte E-Mails entschlüsseln“. Entsprechende Anleitungen sind online verfügbar. Stattdessen solle man vorübergehend auf andere verschlüsselte Lösungen, beispielsweise den Messenger Signal, zurückgreifen. Die in den 90er Jahren entwickelten Standards S/MIME und PGP gelten als die Basis verschlüsselter E-Mail-Kommunikation und werden nach wie vor rege genutzt. Insbesondere im Zuge der Snowden-Enthüllungen hat die Nutzung derartiger Dienste stark zugenommen. 

Infos vorab veröffentlicht

Update: Das Embargo wurde offenbar verletzt, weswegen die Sicherheitsforscher die Veröffentlichung der Details vorzogen. Die Sicherheitslücke trägt, wie bereits vermutet, den Namen „EFAIL“, nähere Informationen sowie das Paper sind auf einer eigens eingerichteten Webseite abrufbar. 

EFAIL kann auf zwei verschiedene Wege genutzt werden, um an den Inhalt verschlüsselter Mails zu gelangen. Grundvoraussetzung ist allerdings stets, dass der Angreifer die verschlüsselten E-Mails abfängt und den geplanten Empfänger kennt. Die erste Methode nennt sich „direkte Exfiltration“ und macht sich die Tatsache zunutze, dass zahlreiche E-Mail-Clients standardmäßig HTML-Inhalte rendern. Dabei verschickt der Angreifer eine manipulierte E-Mail, die den verschlüsselten Text als Teil von HTML-Code enthält. Das Plug-In entschlüsselt den Inhalt, der als Teil einer URL eines Bildes angegeben wird. Sobald der Text entschlüsselt wurde, versucht der E-Mail-Client, das Bild zu laden und sendet eine Anfrage an den angegebenen Server. Die URL existiert natürlich nicht, der Angreifer bekommt aber den entschlüsselten Inhalt als Anfrage auf dem Silbertablett serviert

Inhalt erraten

Die zweite Angriffsmethode ist deutlich gefährlicher, da man hier ausnützt, wie PGP und S/MIME Nachrichten verschlüsseln. Beide Verfahren greifen auf sogenannte Blockchiffren zurück, die die Nachricht in Blöcke mit einer fest definierten Länge aufteilen. Da die Nachrichten üblicherweise den gleichen Anfang haben, beispielsweise "Content-type: multipart/signed", kann der Inhalt teilweise erraten und wieder über die HTML-Methode an den Angreifer zurückgeschickt werden.

So ließen sich bereits mit einer manipulierten Mail bis zu 500 mit S/MIME verschlüsselte Mails entschlüsseln, da alle den gleichen Klartext enthielten. Bei PGP war die Erfolgsrate deutlich geringer – lediglich einer von drei Versuchen war erfolgreich – da PGP den Klartext vor dem Verschlüsseln komprimiert. So ist es deutlich schwieriger, den Byte-genauen Inhalt der Nachricht zu erraten. Laut den Forschern sind 25 der 35 getesteten S/MIME-E-Mail-Clients sowie 10 der 28 getesteten Open-PGP-Clients für EFAIL anfällig.

Vorerst deaktivieren

Lösungen könne man nur eingeschränkt bieten. Kurzfristig könne man sich lediglich schützen, indem man Plug-ins deaktiviert, die die Entschlüsselung der Inhalte direkt im E-Mail-Client durchführen. Stattdessen sollen die Private Keys in einer separaten Anwendung verwaltet und der Inhalt dort entschlüsselt werden. Zudem soll die Darstellung von HTML-E-Mails deaktiviert werden, da damit zumindest die „direkte Exfiltration“ verhindert werden kann. Längerfristig müssen die Entwickler der Plug-ins reagieren und die Software mit Patches versorgen. Zudem müssen die OpenPGP- und S/MIME-Standards überarbeitet werden, um derartige Angriffe unmöglich zu gestalten.