Sebastian Schinzel und sein Team haben in PGP und S/MIME Sicherheitslücken veröffentlicht. Sie zeigen fehlende Empfängerverifizierung, nicht umgesetzte Intigritätssicherungen (MDC) und Gefahren im allgemeinen Protokoll.
Auswirkung:
- Angreifer können sich (teil-)entschlüsselte Nachrichten zukommen lassen
- Es werden keine Schlüssel extrahiert
Vorgehensweise:
- Angreifer muss E-Mail abfangen und weiterleiten
- Fügt am Anfang der E-Mail eine geöffnete Commandline mit eigener URL und am Ende der Nachricht das schließende Zeichen
- oder entfernt MDC
- oder manipuliert MDC, welches dann nur zu einer Teilentzifferung führt.
Workaround:
- HTML in E-Mails deaktivieren
- Verschlüsselten Text nicht im E-Mail Client entziffern lassen
- Intigritätssicherung (MDC) aktivieren
Die nächsten Schritte:
- E-Mail Client aktualisieren, da schon einige ein Update bereitstellen
- OpenPGP bekommt eventuell eine verbesserte Integrationssicherung wie Authenticated Encryption
- S/MIME bisher noch keine Änderung in Sicht