Artikel-Filter
IFA
HMI
Akkreditieren Sie sich hier zu den kommenden PREVIEWs

Efail : Verschlüsselungsstandards für E-Mail gehackt

Verschlüsselung S/MIME und Standard Open PGP anfällig

RUB - Ein Forscherteam der Fachhochschule (FH) Münster, des Horst-Görtz-Instituts für IT-Sicherheit der Ruhr-Universität Bochum (RUB) und der Katholieke Universiteit Leuven hat gezeigt, dass die beiden gängigsten E-Mail-Verschlüsselungsverfahren angreifbar sind. Ihr Angriff, den sie Efail tauften, war bei 25 von 35 getesteten E-Mail-Programmen für den Verschlüsselungsstandard S/MIME und bei 10 von 28 getesteten Programmen für den Standard Open PGP erfolgreich.

Die Hersteller der Mailprogramme sind informiert und haben die gemeldeten Sicherheitslücken behoben. Trotzdem empfehlen die Experten dringend, die den Standards zugrundeliegenden kryptografischen Verfahren zu erneuern, um auch zukünftige Angriffe abwehren zu können. Auf ihrer Webseite (https://efail.de/) informieren sie über die Details ihres Angriffs.

Realistisches Angriffsszenario

E-Mails werden verschlüsselt, um ihren Inhalt auch gegenüber Netzbetreibern, Cyberkriminellen und Geheimdiensten geheim zu halten, die über gehackte Router, einen E-Mail-Server oder durch Aufzeichnen der Nachricht während der Übertragung Zugriff erlangen können. „Dieses Szenario ist nach den Snowden-Enthüllungen und zahllosen gehackten Mailservern ausgesprochen realistisch“, betont Prof. Dr. Sebastian Schinzel vom Fachbereich Elektrotechnik und Informatik der FH Münster.

Die abgefangene verschlüsselte Nachricht wird manipuliert, indem der Angreifer eigene, maliziöse Befehle in verschlüsselter Form hinzufügt. Diese veränderte Nachricht wird dann an einen der Empfänger oder den Sender der Nachricht gesandt, wo die zur Entschlüsselung benötigten Daten vorhanden sind.

Nach der Entschlüsselung führen die eingefügten Befehle dazu, dass das Mailprogramm des Opfers beim Öffnen der Mail eine Kommunikationsverbindung zum Angreifer aufbaut. Eine solche Kommunikation ist üblich, um zum Beispiel Bilder oder Designelemente in Mails nachzuladen. Über diese Verbindung wird dem Angreifer die entschlüsselte Mail komplett zugestellt, sodass er sie lesen kann. Diese neuartige Angriffstechnik nannten die Forscher „Exfiltration with Malleability Gadgets“.

Unternehmen, Reporter, Whistleblower

Die E-Mail-Verschlüsselungsverfahren S/MIME – kurz für Secure/Multipurpose Internet Mail Extensions – und Open PGP sind seit den 1990er-Jahren im Einsatz. S/MIME wird vielfach von Firmen genutzt, die sämtliche ausgehenden Mails ver- und die eingehenden Mails entschlüsseln. Open PGP wird eher von Einzelpersonen verwendet, zum Beispiel von Journalisten in Krisengebieten oder Whistleblowern wie Edward Snowden.

Die zugrunde liegende Kryptografie ist seit den 1990er-Jahren unverändert, obwohl es inzwischen deutlich verbesserte Verfahren gibt. „In anderen Internetstandards wie zum Beispiel TLS, kurz für Transport Layer Security, ein Protokoll zur Verschlüsselung von Datenübertragungen im Internet, wurde diese Art der Kryptografie schon mehrfach gebrochen. Ihre Anfälligkeit in E-Mail-Verschlüsselung haben wir aber zum ersten Mal nachgewiesen“, erklärt Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit der RUB.

S/MIME in der aktuellen Version untauglich für sichere Kommunikation

Im Fall von S/MIME hat der erfolgreiche Angriff gezeigt, dass der aktuelle Standard untauglich für die sichere Kommunikation ist. „Open PGP kann sicher konfiguriert werden, wird aber in der Praxis sehr häufig falsch eingesetzt und ist daher ebenfalls als unsicher einzuschätzen“, so Jörg Schwenk.

Nun sei die Internet Engineering Task Force, eine herstellerübergreifende, internationale Organisation, gefordert, für einen neuen Standard zu sorgen, so die Forscher. Nach ihrem erfolgreichen Angriff haben sie die Hersteller aller getesteten Mailprogramme über die entdeckte Sicherheitslücke informiert. Inzwischen wurde nachgebessert, um das Risiko eines erfolgreichen echten Angriffs zu minimieren.

Vorstellung auf Konferenzen

Der Angriff wird Thema verschiedener Konferenzen sein: Am 17. und 18. Mai 2018 auf der Ruhrsec an der RUB und im Sommer beim Usenix Security Symposium, das vom 15. bis zum 17. August 2018 in Baltimore, USA, stattfindet.

Originalveröffentlichung

Damian Poddebniak, Jens Müller, Christian Dresen, Fabian Ising, Sebastian Schinzel, Simon Friedberger, Juraj Somorovsky, Jörg Schwenk: Efail: Breaking S/MIME and Open PGP email encryption using exfiltration channels

efail.de/

PREVIEW onlinePressekontakt
RUB - Ruhr Universität Bochum
Universitätsstraße 150 | 44801 Bochum
Jens Wylkop
Pressereferent
Tel.: +49 234 32 28355
E-Mail: jens.wylkop@uv.rub.de

Fragen zu Efail beantworten:
Prof. Dr. Sebastian Schinzel
Fachbereich Elektrotechnik und Informatik
FH Münster
Tel.: 02551 9 62188
E-Mail: mail@efail.de

Prof. Dr. Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit
Fakultät für Elektrotechnik und Informationstechnik
Ruhr-Universität Bochum
Tel.: 0234 32 26692
E-Mail: mail@efail.de

ANZEIGE
ANZEIGE


Maschinelles Lernen über Grenzen des Bekannten hinaus

Neue Methode ermöglicht genaue Extrapolation
IST Austria - Um den sicheren Betrieb eines Roboters zu gewährleisten ist es entscheidend zu wissen, wie der Roboter unter verschiedenen Bedingungen reagiert. Aber woher soll man wissen, was einen Roboter ...



Digitalisierter Betrieb bei der S-Bahn Hamburg

DB und Siemens: 4 Pilotzüge zum ITS-Weltkongress 2021
DB - In Hamburg wird 2021 erstmals in Deutschland ein hochautomatisierter S-Bahn-Betrieb aufgenommen. Eine entsprechende Kooperationsvereinbarung zur „Digitalen S-Bahn Hamburg“ haben der Erste ...



Autonome Fahrzeuge in Städten

Siemens-Report ruft zur frühzeitigen Vorbereitung auf
SIEMENS - Ein Siemens-Report zeigt: Das Aufkommen vernetzter und autonomer Fahrzeuge kann Städte in aller Welt nachhaltig verändern. Der Report "Cities in the Driving Seat" stellt fest, dass Städte ...



Musik streamen und die Wiedergabe per Sprache steuern

WLAN-Multiroom-Stereo-Lautsprecher auvisio QAS-400
PREVIEW online - Jetzt kann man mit dem aktiven Stereo-Lautsprecher auvisio QAS-400 die Lieblingsmusik von nahezu jeder Quelle bequem wiedergeben. Dank WLAN, AirPlay und Bluetooth streamt man von Smartphone, Tablet-PC, ...



Premiere in Kiel

Neuartiger Rechner für die Bioinformatik vorgestellt
CAU - Der neue Hochleistungscomputer des Exzellenzclusters Entzündungsforschung löst rechenintensive Aufgaben bis zu 4000mal schneller als herkömmliche Geräte und senkt den Stromverbrauch um bis zu 99 ...



Your Smartphone is Watching You

Gefährliche Sicherheitslücken in Tracker-Apps
Fraunhofer SIT - Viele Tracker-Apps, mit denen beispielsweise Eltern ihre Kinder orten können, haben gravierende Sicherheitslücken. Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie haben beliebte ...



Drohnen-Angriff auf Präsidenten

Großveranstaltungen müssen besser geschützt werden
PREVIEW online - Wieder einmal war der hightech presseclub (hpc) der Zeit weit voraus, als er bereits 2016 zu einer Veranstaltung einlud, die den Titel trug „Quadro-Killer – Anschläge aus der Luft“. Thema waren die ...



Laufend kreativ: Innovationen auf neuen Wegen fördern

Innovation Walk mit Moving Workshops
PREVIEW online - Treffen Sie Innovatoren und Entscheider im Rahmen eines neuen, aus dem DEUTSCHEN INNOVATIONSGIPFEL entstandenen Formats, in einem außergewöhnlichen Umfeld. Tauschen Sie sich mit Experten anderer Branchen ...



Hamburgs erstes Unicorn: About You

Otto-Tochter mehr als eine Milliarde wert
PREVIEW online - Große Freude in Hamburgs Start-up-Szene und im Konzern des Otto-Versands. Die 2014 Firma About You ist das erste Unicorn der Hansestadt. Einhorn werden in der Gründerszene Start-ups genannt, die mehr als ...



Handy nur mit einem Lächeln sichern

Ein Technikchampion für die Hosentasche
PREVIEW online - TCL – Kompakte Smartphones wie das schlanke Alcatel 3 mit 18:9-Displays kommen in diesem Jahr groß raus. Für nur 159 Euro bietet das ultrakompakte 5.5 HD+ mit dem Alcatel FullView 18:9-Bildverhältnis mehr ...



ANZEIGE
Presse-Mitteilungen   RSS-Feed
ANZEIGE
About
PREVIEW online ist ein multimediales News-Portal für technisch Interessierte.
Ohne langes Suchen und Site-hopping finden Sie hier gewünschte Informationen. Mit einem Blick sehen Sie auf PREVIEW online sofort, welche Medien zu den jeweiligen Themen vorhanden sind. Eine optimale Kombination aus Kategorien, Schlagwort- und Volltextsuche erleichtert Ihnen das Finden gewünschter Informationen erheblich. Wenn Sie Wichtiges über Themen, Unternehmen, News, die Sie interessieren, nicht verpassen möchten, abonnieren Sie sich unseren NEWS-Allert.
Alle Infos sind nur 1 Klick entfernt - das ist PREVIEW online.
IMPRESSUM / DATENSCHUTZ