{"id":204263,"date":"2018-05-14T12:44:16","date_gmt":"2018-05-14T10:44:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=204263"},"modified":"2023-09-02T10:15:30","modified_gmt":"2023-09-02T08:15:30","slug":"pgp-und-s-mime-e-mail-verschlsselung-mit-sicherheitslcke","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/05\/14\/pgp-und-s-mime-e-mail-verschlsselung-mit-sicherheitslcke\/","title":{"rendered":"PGP und S\/MIME: E-Mail-Verschl&uuml;sselung mit Sicherheitsl&uuml;cke"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Bei der Verschl\u00fcsselung von E-Mails mittels PGP als auch S\/MIME gibt es einen fundamentalen Fehler, so dass verschl\u00fcsselte Nachrichten nachtr\u00e4glich entschl\u00fcsselt werden k\u00f6nnen. <strong>Erg\u00e4nzung:<\/strong> Die Details sind nun bekannt, Link zum WhitePaper nachgetragen. Zudem gibt es konkrete Handlungsanweisungen.<\/p>\n<p><!--more--><\/p>\n<h2>Erste Hinweise zur Schwachstelle\u00a0<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/bf551ae4511249ffbbb29ecc87e9a8ee\" alt=\"\" width=\"1\" height=\"1\" \/><\/h2>\n<p>Aktuell sind wohl noch keine Details \u00f6ffentlich bekannt. Professor Sebastian Schinzel von der FH-M\u00fcnster hat auf Twitter angek\u00fcndigt, die Sicherheitsl\u00fccke zum 15. Mai 2018 zu ver\u00f6ffentlichen.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">We'll publish critical vulnerabilities in PGP\/GPG and S\/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. <a href=\"https:\/\/twitter.com\/hashtag\/efail?src=hash&amp;ref_src=twsrc%5Etfw\">#efail<\/a> 1\/4<\/p>\n<p>\u2014 Sebastian Schinzel (@seecurity) <a href=\"https:\/\/twitter.com\/seecurity\/status\/995906576170053633?ref_src=twsrc%5Etfw\">14. Mai 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Eine kritische Sicherheitsl\u00fccke in der in PGP\/GPG and S\/MIME E-Mail-Verschl\u00fcsselung f\u00fchrt dazu, dass die Nachricht im Klartext vorliegen oder auch nachtr\u00e4glich entschl\u00fcsselt werden kann. Aktuell gibt es keine Methode, um das Problem zu entsch\u00e4rfen. Auf der Seite der Electronic Frontier Foundation (EFF) gibt es <a href=\"https:\/\/www.eff.org\/deeplinks\/2018\/05\/attention-pgp-users-new-vulnerabilities-require-you-take-action-now\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Artikel<\/a> zum Thema.<\/p>\n<p>Die Empfehlung der EFF ist, ist die sofortige Deaktivierung und\/oder Deinstallation von Tools, die automatisch PGP-verschl\u00fcsselte E-Mails entschl\u00fcsseln. Dies wird auch von den Sicherheitsforschern, die die Schwachstelle entdeckt haben, geteilt. (via <a href=\"https:\/\/arstechnica.com\/information-technology\/2018\/05\/critical-pgp-and-smime-bugs-can-reveal-encrypted-e-mails-uninstall-now\/\" target=\"_blank\" rel=\"noopener noreferrer\">Arstechnica<\/a> und <a href=\"https:\/\/www.golem.de\/news\/e-mail-verschluesselung-pgp-und-s-mime-abschalten-1805-134359.html\" target=\"_blank\" rel=\"noopener noreferrer\">Golem<\/a>).<\/p>\n<p><strong>Erg\u00e4nzung 1:<\/strong> Die Kollegen von deskmodder.de haben <a href=\"https:\/\/www.deskmodder.de\/blog\/2018\/05\/14\/mail-verschluesselung-pgp-und-s-mime-mit-sicherheitsluecken-vorerst-deaktivieren\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> noch einige Information zusammen getragen. Und bei heise.de gibt es inzwischen <a href=\"https:\/\/www.heise.de\/security\/meldung\/PGP-E-Mail-Verschluesselung-akut-angreifbar-4048489.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Beitrag<\/a> dazu.<\/p>\n<h2>Erg\u00e4nzung 2: Details nun bekannt<\/h2>\n<p>Inzwischen ist ein <a href=\"https:\/\/web.archive.org\/web\/20190228094936\/https:\/\/efail.de\/efail-attack-paper.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">PDF-Dokument mit Details<\/a> zum Angriff ver\u00f6ffentlicht worden. Auf der <a href=\"https:\/\/web.archive.org\/web\/20180925072159\/https:\/\/efail.de\/\" target=\"_blank\" rel=\"noopener noreferrer\">efail.de-Webseite<\/a>\u00a0gibt es zudem Hinweise zum Thema. In aller K\u00fcrze: Das Problem liegt im Zusammenspiel von E-Mail-Clients mit PGP und S\/MIME.\u00a0Die EFAIL-Angriffe missbrauchen aktive Inhalte, meist in Form von HTML-Bildern, Styles, etc.\u00a0in der Mail, um die Verschl\u00fcsselung aufzubrechen.\u00a0Erg\u00e4nzung: heise.de hat inzwischen <a href=\"https:\/\/www.heise.de\/security\/artikel\/PGP-und-S-MIME-So-funktioniert-Efail-4048873.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesen deutschsprachigen Artikel<\/a> mit Details zur efail-L\u00fccke ver\u00f6ffentlicht.\u00a0Daher gibt es aktuell folgende Strategien, um die Schwachstellen auszumerzen:<\/p>\n<ul>\n<li>Die erste Ma\u00dfnahme w\u00e4re, die Verschl\u00fcsselung mit PGP und S\/MIME nicht mehr zu im Client verwenden. Die \u00dcberlegung: Dann wiegt sich keiner in falscher Sicherheit, denn die Mails waren unverschl\u00fcsselt \u00fcbermittelt &#8211; und so von den Nutzern f\u00fcr Vertrauliches als \"unsicher\" angesehen.<\/li>\n<li>Oder man geht dahin, HTML-Rendering in Mails zu deaktivieren.\u00a0Wenn Sie die Darstellung eingehender HTML-E-Mails in Ihrem E-Mail-Client deaktivieren, wird der prominenteste Ansatz, die EFAIL-Schwachstelle auszunutzen, geschlossen. Beachten Sie, dass es andere m\u00f6gliche Backchannels in E-Mail-Clients gibt, die nichts mit HTML zu tun haben, aber schwieriger zu nutzen sind.<\/li>\n<li>Mittelfristig werden einige Hersteller von E-Mail-Clients Patches ver\u00f6ffentlichen, die entweder die EFAIL-Schwachstellen beheben oder deren Ausnutzung erschweren. Es gilt also, das E-Mail-Programm zu aktualisieren (sofern angeboten).<\/li>\n<\/ul>\n<p>Erg\u00e4nzung: heise.de hat <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Efail-Was-Sie-jetzt-beachten-muessen-um-sicher-E-Mails-zu-verschicken-4048988.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier einen Artikel<\/a> zu m\u00f6glichen Ma\u00dfnahmen publiziert. Langfristig\u00a0wird nichts anderes \u00fcbrig bleiben, als die OpenPGP- und S\/MIME-Standards zu aktualisieren. Die EFAIL-Angriffe nutzen Fehler und undefiniertes Verhalten in den Standards MIME, S\/MIME und OpenPGP aus. Daher m\u00fcssen die Normen aktualisiert werden, was einige Zeit in Anspruch nehmen wird.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/web.archive.org\/web\/20180926071023\/https:\/\/efail.de\/media\/efail-disclosure-smime.png\" alt=\"efail anf\u00e4llige Clients\" width=\"601\" height=\"611\" \/><br \/>\n(Quelle: efail.de)<\/p>\n<p>Auf der Webseite\u00a0<a href=\"https:\/\/web.archive.org\/web\/20180925072159\/https:\/\/efail.de\/\" target=\"_blank\" rel=\"noopener noreferrer\">www.efail.de<\/a>\u00a0findet sich neben einer englischsprachigen FAQ auch eine \u00dcbersicht der betroffenen E-Mail-Programme (ein Auszug ist in obigem Bild zu sehen).\u00a0Das\u00a0 Bundesamt f\u00fcr Sicherheit in der Informationstechnologie (BSI) hat hier eine FAQ\u00a0in Deutsch zum Thema ver\u00f6ffentlicht.<\/p>\n<p>Von der GnuPG gibt es noch zwei Stellungnahmen <a href=\"https:\/\/lists.gnupg.org\/pipermail\/gnupg-users\/2018-May\/060315.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> und <a href=\"https:\/\/lists.gnupg.org\/pipermail\/gnupg-users\/2018-May\/060317.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier\u00a0<\/a>\u00a0die einiges relativieren. Etwas Knatsch gibt es zu\u00a0Enigmail 2.0, welches laut den Sicherheitsforschern die Standards korrekt handhabt, aber auf der Liste der angreifbaren Mail-Clients zu finden ist (siehe <a href=\"https:\/\/twitter.com\/robertjhansen\/status\/995977877375070209\" target=\"_blank\" rel=\"noopener noreferrer\">folgenden Tweet<\/a>).<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">The Efail authors confirmed to Patrick that Enigmail 2.0 and later handles MDCs correctly. So we're a little confused as to why Enigmail's listed in the paper as being vulnerable. 2\/<\/p>\n<p>\u2014 Robert J. Hansen (@robertjhansen) <a href=\"https:\/\/twitter.com\/robertjhansen\/status\/995977877375070209?ref_src=twsrc%5Etfw\">14. Mai 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bei der Verschl\u00fcsselung von E-Mails mittels PGP als auch S\/MIME gibt es einen fundamentalen Fehler, so dass verschl\u00fcsselte Nachrichten nachtr\u00e4glich entschl\u00fcsselt werden k\u00f6nnen. Erg\u00e4nzung: Die Details sind nun bekannt, Link zum WhitePaper nachgetragen. Zudem gibt es konkrete Handlungsanweisungen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[259,1782],"class_list":["post-204263","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-e-mail","tag-sicherheitslucke"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204263","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=204263"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204263\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=204263"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=204263"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=204263"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}