Es ist eine eindringliche Warnung: Gleich mehrere europäische Sicherheitsexperten raten davon ab, die E-Mail-Verschlüsselungen PGP, GPG oder S/MIME weiter zu nutzen. Sebastian Schinzel, Professor für Computersicherheit an der Fachhochschule in Münster, kündigte am Montagmorgen auf Twitter die Veröffentlichung «kritischer Schwachstellen in PGP/GPG und S/MIME» an. Die Lücken würden es Angreifern erlauben, verschlüsselte E-Mails mitzulesen.
Betroffen von den als «Efail» getauften Angriffsmethoden auf verschlüsselte E-Mails sind nahezu alle Programme, die E-Mail-Verschlüsselung (als Plugin) anbieten – von Gmail, Outlook und Windows Mail bis hin zu Thunderbird und Apple Mail.
We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4
— Sebastian Schinzel (@seecurity) May 14, 2018
Details zur Sicherheitslücke wollten die Experten ursprünglich am Dienstag erläutern. Die Forschungsarbeit ist nun allerdings bereits im Netz verfügbar (PDF). Da es bislang keine Abwehrmöglichkeit gebe, rät Schinzel, die entsprechenden Verschlüsselungs-Plugins für E-Mail-Programme wie Outlook, Apple Mail oder Thunderbird im Moment nicht mehr zu nutzen, sondern eine andere Software zur Verschlüsselung zu verwenden. Besonders dramatisch sei die Situation bei der von vielen Firmen genutzten S/MIME-Verschlüsselung. Laut den Forschern sei dieser Verschlüsselungs-Standard «unrettbar kaputt», schreibt das deutsche Techportal Heise.
Moving on from the question of who is to blame, there are two neat findings in this work. The first is that most mail clients are (were) *way* too willing to reach out to remote servers, even when set up not to. This is: yikes. pic.twitter.com/N1jTdoPxzn
— Matthew Green (@matthew_d_green) 14. Mai 2018
Spiegel Online erläutert zwei mögliche Attacken:
Die Schwachstelle könnte Menschen, die bislang verschlüsselt per E-Mail kommuniziert haben, in Schwierigkeiten bringen: Denn Geheimdienste haben allenfalls jahrelang alle diese E-Mails automatisch als verdächtig markiert und gespeichert. Nun können sie einige dieser Nachrichten allenfalls nachträglich lesen.
"... critical vulnerabilities in PGP/GPG and S/MIME might reveal the plaintext of encrypted emails, including encrypted emails sent in the past." Und NSA/GCHQ dürften jahrelang alle diese Mails automatisch als verdächtigt geflaggt und vorratsgespeichert haben. https://t.co/jGS5bLLdUc
— Patrick Beuth (@PatrickBeuth) May 14, 2018
Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) rät Nutzern des Enigmail-Plugins für Thunderbird, von GPGTools für Apple Mail sowie Gpg4win für Microsofts Outlook ebenfalls, diese Software vorerst zu deaktivieren, bis die Sicherheitslücken durch Updates behoben wurden.
Die gefundenen Schwachstellen steckten in den E-Mail-Programmen selbst und nicht in der Verschlüsselungsprotokollen, schreiben die Entwickler von GNU Privacy Guard (GnuPG) auf Twitter.
They figured out mail clients which don't properly check for decryption errors and also follow links in HTML mails. So the vulnerability is in the mail clients and not in the protocols. In fact OpenPGP is immune if used correctly while S/MIME has no deployed mitigation.
— GNU Privacy Guard (@gnupg) May 14, 2018
Anders gesagt: Efail ist offenbar kein Fehler in PGP oder GnuPG, sondern in der Art und Weise, wie sehr viele E-Mail-Programme mit verschlüsselten E-Mails umgehen.
«Die Schwachstelle betrifft also nicht die Verschlüsselungsstandards selbst, sondern Plugins, die den Umgang mit PGP und S/MIME erleichtern», schreibt Spiegel Online. Werner Koch, der massgebliche Entwickler der GPG-Verschlüsselung, bestätigt dies in einem Beitrag von Montagmorgen auf der GnuPG-Mailingliste. Er bezeichnet die Warnung vor den Verschlüsselungs-Plugins als «ziemlich übertrieben». Statt das Verschlüsselungs-Plugin zu deaktivieren oder gar zu löschen, solle man einfach auf HTML-Mails verzichten. Denn problematisch ist das automatisierte Ausführen von HTML und das Nachladen externer Inhalte. OpenPGP sei zudem sicherer als S/MIME.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Panik: «Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.»
Klar ist inzwischen: Die Hürden für Angreifer bleiben bei verschlüsselten E-Mails relativ hoch: «Der Angreifer muss im Besitz der noch verschlüsselten E-Mails sein. Dazu müsste er zum Beispiel den Netzwerkverkehr des Opfers überwacht oder dessen Postfach, E-Mail-Server oder Computer gehackt haben», schreibt Spiegel Online.
Sichere verschlüsselte E-Mail-Kommunikation bleibt daher ein wichtiges und geeignetes Mittel zur Erhöhung der Informationssicherheit. «Die nun entdeckten Schwachstellen lassen sich zunächst durch Patches und insbesondere durch angepasstes Nutzerverhalten schliessen», schreibt das BSI. Dennoch werde langfristig eine Anpassung der OpenPGP- und S/MIME-Standards nötig sein.
Der drastische Aufruf einiger Sicherheitsexperten sowie der Electronic Frontier Foundation, die Verschlüsselungs-Plugins nicht mehr zu nutzen, sorgt in Sicherheitskreisen aktuell für viele Fragezeichen. Denn die warnenden Sicherheitsforscher schwiegen sich zunächst darüber aus, unter welchen Voraussetzungen und mit welchem Aufwand es möglich ist, die Sicherheitslücken auszunutzen. Der Schweizer Sicherheits-Experte Daniel Röthlisberger, der beim Computer Emergency Response Team der Swisscom arbeitet, schreibt auf Twitter:
It would help if you'd explain your rationale for the drastic recommendation of disabling PGP and s/mime entirely as opposed to simply ensuring that external images are not loaded or HTML is disabled @seecurity @mala @EFF #efail https://t.co/TeR1N5OZAr
— Daniel Roethlisberger (@droethlisberger) May 14, 2018
Auf Twitter geben sich Verschlüsselungs-Entwickler wie Werner Koch und Kryptographie-Professoren wie Matthew Green derweil gegenseitig aufs Dach. GnuPG sei alles andere als unschuldig an der aktuellen Situation, meint Green. Die Verschlüsselungs-Entwickler hätten die Absicherung viel zu lange den einzelnen Plugin-Entwicklern überlassen.
So in summary, PGP clients are vulnerable because 17 years after a vulnerability was known, the mitigation was not made a default in GnuPG and defense was instead “left to PGP clients”, which also make a convenient scapegoat when it goes pear-shaped. 12/
— Matthew Green (@matthew_d_green) 14. Mai 2018
Stand heute scheint es eine gute Idee zu sein, sicherzustellen, dass HTML in E-Mails deaktiviert ist. Mittelfristig müssen aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Die Experten hatten laut Eigenaussage bereits letzten Herbst gewisse Unternehmen und Behörden über die Lücken informiert.
Das Gute an der Geschichte: Sie führt uns einmal mehr vor Augen, dass unverschlüsselte E-Mails kein sicherer Kommunikationskanal sind. Wer auf Nummer sicher gehen will, sollte zwischenzeitlich auf Ende-zu-Ende-verschlüsselte-Alternativen umsatteln. Zum Beispiel Threema oder Signal.
Um sich zu schützen, kann man in der aktuellen Situation eigentlich nur auf den Versand hochbrisanter Informationen via E-Mail verzichten
https://www.heise.de/security/meldung/PGP-E-Mail-Verschluesselung-akut-angreifbar-4048489.html
Wie man dazu kommt, den Usern anzugeben, die Verschlüsselung ganz zu deaktivieren, ist mir ein Rätsel.
Ein knackbares Zahlenschloss am Velo schützt immer noch besser als gar kein Schloss.
Im Grossen und Ganzen wird und wurde ziemlich masslos übertrieben. In der Standardkonfiguration eines Grossteils verwendeter E-Mail clients funktionieren die Ansätze gar nicht oder nur auf explizite Anweisung des Nutzers.
Selbst dann ist eine unter Umständen in speziellen Konstellationen nicht sichere Verschlüsselung besser als keine, davon abzuraten ist also Blödsinn.
Für sensitive Daten ist und war E-Mail aber tatsächlich nicht gedacht.
Der User muss eine so präparierte Mail öffnen. Geheimdienste können also nicht einfach im stillen Kämmerlein alle gesammelten Mails nachträglich entschlüsseln.
Der Mailclient muss zudem automatisch HTML-Inhalte aus dem Internet nachladen. Hier wurde aber anscheinend ein Trick mit CSS gefunden, der ohne das Laden von Bildern auskommt.