PGP und S/MIME: Efail und Sicherheitslücken

Sebastian Schinzel und sein Team haben in PGP und S/MIME Sicherheitslücken veröffentlicht. Sie zeigen fehlende Empfängerverifizierung, nicht umgesetzte Intigritätssicherungen (MDC) und Gefahren im allgemeinen Protokoll.

Auswirkung:

  • Angreifer können sich (teil-)entschlüsselte Nachrichten zukommen lassen
  • Es werden keine Schlüssel extrahiert

Vorgehensweise:

  • Angreifer muss E-Mail abfangen und weiterleiten
  • Fügt am Anfang der E-Mail eine geöffnete Commandline mit eigener URL und am Ende der Nachricht das schließende Zeichen
  • oder entfernt MDC
  • oder manipuliert MDC, welches dann nur zu einer Teilentzifferung führt.

Workaround:

  • HTML in E-Mails deaktivieren
  • Verschlüsselten Text nicht im E-Mail Client entziffern lassen
  • Intigritätssicherung (MDC) aktivieren

Die nächsten Schritte:

  • E-Mail Client aktualisieren, da schon einige ein Update bereitstellen
  • OpenPGP bekommt eventuell eine verbesserte Integrationssicherung wie Authenticated Encryption
  • S/MIME bisher noch keine Änderung in Sicht

Forumsdiskussion

Schreibe einen Kommentar