Ergebnis 1 bis 15 von 15

Thema: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

  1. #1
    Badass No. 1

    Moderator

    Avatar von Nerephes
    Registriert seit
    Jul 2013
    Ort
    Borderland
    Beiträge
    3.106
    ngb:news Artikel
    14

    Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    Einem Forscherteam der FH Münster, der Ruhr-Universität Bochum und der KU Löwen in Belgien ist es in einem Test gelungen, die Verschlüsselung von E-Mails per PGP und S/Mime zu umgehen.

    In dem Verfahren wird eine verschlüsselte Mail abgefangen und der Ciphertext versteckt in einer unverfänglichen Mail an den ursprünglichen Empfänger gemailt. Da der Empfänger den privaten PGP-Schlüssel besitzt, wird der Ciphertext automatisch entschlüsselt.
    Sofern der Mail-Client auf dem Empfänger-Computer nun noch HTML erlaubt, laden die präparierten HTML-Elemente in der Mail eine Website im Hintergrund nach, über die dann der entschlüsselte Text an den Angreifer gelangt.

    Ein Schließen der Lücke ist nicht ohne Weiteres möglich und wird wahrscheinlich mehrere Monate in Anspruch nehmen.

    Nachdem nun PGP und S/Mime nicht länger sicher sind, gibt es aktuell keine sichere Möglichkeit per E-Mail zu kommunizieren.

    Quelle

    Eigener Kommentar:

    Ob das Verbieten von HTML im Mail-Client als Schutz ausreicht, war für mich nicht erkennbar.
    Ggf. wird dies nochmal eindeutiger geklärt.
    Geändert von Nerephes (14.05.18 um 16:22 Uhr) Grund: Typo
    TURN AROUND PRETTY LADY!

    "Moderator-Man ist gekommen um uns zu retten! HAIL MODERATOR-MAN!" - Fhynn

  2. #2
    肉まん Avatar von nik
    Registriert seit
    Feb 2017
    Ort
    deine Mülltonne
    Beiträge
    459
    ngb:news Artikel
    1

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    Hier steht es etwas ausführlicher: https://www.golem.de/news/pgp-smime-...05-134370.html

    Zitat Zitat von Nerephes Beitrag anzeigen
    Ob das Verbieten von HTML im Mail-Client als Schutz ausreicht, war für mich nicht erkennbar.
    Wenn du pgp nutzt, bist du dadurch sicher. Bei S/MIME gibt es noch andere Angriffsvektoren.
    Für diesen Beitrag bedankt sich LadyRavenous
    Gerade dachte ich, dass das Gehirn faszinierend ist. Dann ist mir aufgefallen, dass das Gehirn selbst das gedacht hat. Arroganter Fleischklumpen.

    Verallgemeinerung ist die Philosophie der Primitiven

  3. #3
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.190
    ngb:news Artikel
    6

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    @nik: Laut Werner Koch vom GnuPG-Projekt sind wohl ein paar OpenPGP-Implementierungen eventuell zwar anfällig, GnuPG ist aber schon um die Jahrtausendwende mittels Authenticated Encryption gegen Message Injection geschützt worden. S/MIME ist jedoch Toast, weil die das offenbar nicht in den Standard gezimmert haben.

    Naja, und dass HTML böse ist, wissen wir ja schon lang.

    Sauce: https://lists.gnupg.org/pipermail/gn...ay/060315.html

    Ergo: Für GnuPG-User ist das eher ein nice to know als ein wirkliches Problem.
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  4. #4
    Dr. Zyn. Avatar von Novgorod
    Registriert seit
    Jul 2013
    Ort
    Tiefste Sowjetunion
    Beiträge
    2.804

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    panikmache? also muss der bösewicht nicht nur erfolgreich eine MITM-attacke auf die email (also das netzwerk) durchführen, sondern auch darauf hoffen, dass der email-client automatisch html-inhalte nachlädt und (ich nehme mal stark an) JS ausführt - und das ausgerechnet bei der aluhut-zielgruppe, die sich tatsächlich die mühe macht, PGP bei entsprechend heikler kommunikation einzusetzen .. selbst der mainstream-thunderbird lädt per default keine externen inhalte nach - na dann gutes gelingen .. wenn man eh schon dabei ist, wäre es nicht sinnvoller, stattdessen browser-exploits nachzuladen und den rechner zu übernehmen? dann könnte man sich auch die MITM-attacke sparen ..

  5. #5
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.190
    ngb:news Artikel
    6

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    @Novgorod: Du brauchst kein MITM, es reicht, wenn du eine verschlüsselte Nachricht ebenfalls bekommst und diese manipulierst und erneut schickst. Klar, das fällt auf, wenn 5 Minuten später die gleiche Nachricht nochmal kommt, aber im Prinzip möglich nicht allzu schwer (bei entsprechenden Ressourcen). Zumal S/MIME beinahe überall im professionellen Umfeld von Noobs eingesetzt wird, und daher durchaus großes Missbrauchspotential besteht. Das Nachladen von Fremdinhalten ist übrigens bei den meisten Mailclients völlig normal und wird von den meisten Usern auch so eingerichtet (weil Outlook glaub ich am Anfang einmal fragt, und das dann direkt als Standard setzen kann).
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  6. #6
    in Schwarz

    Moderator

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    1.708
    ngb:news Artikel
    11

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    Bei Heise ist es auch noch schön erklärt.
    In Firmen wird es meist von den ITlern eingerichtet und damit hat sichs. Nachladen von Inhalten ist recht häufig erlaubt, auch weil es die PRler und Marketingleute bei den Newslettern einsetzen.
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

  7. #7
    Cloogshicer®

    Moderator

    Avatar von dexter
    Registriert seit
    Jul 2013
    Beiträge
    1.873

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    Zitat Zitat von LadyRavenous Beitrag anzeigen
    [...]Nachladen von Inhalten ist recht häufig erlaubt, auch weil es die PRler und Marketingleute bei den Newslettern einsetzen.
    Sollte es nicht genau deswegen deaktiviert bleiben?
    Für diesen Beitrag bedanken sich KingJamez, Novgorod
    Wer nachts schläft, muss sich nicht wundern, wenn er tagsüber arbeitet!

  8. #8
    in Schwarz

    Moderator

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    1.708
    ngb:news Artikel
    11

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    @dexter: Möchte man meinen...
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

  9. #9
    Dr. Zyn. Avatar von Novgorod
    Registriert seit
    Jul 2013
    Ort
    Tiefste Sowjetunion
    Beiträge
    2.804

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    @Metal_Warrior: ohne MITM ist das ganze auch nicht cleverer als normales phishing - der exploit sitzt vor dem bildschirm.. und das nachladen von HTML in emails von fremden ist gleichzusetzen mit dem blinden anklicken von unbekannten links, die man im internet findet oder die man zugespammt bekommt..

    außerdem: outlook mit PGP plugin? also verhütung durch ein condom, das man sich als zäpfchen verabreicht?

  10. #10
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.190
    ngb:news Artikel
    6

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    @Novgorod: S/MIME ist die Standardverschlüsselung für Outlook und hat nichts, aber auch gar nichts, mit PGP zu tun. Ist nur auch betroffen. Und übrigens: HTML ist bei Outlook standardmäßig aktiv. In Firmen. Auch bei Sekretärinnen, der PR-Abteilung und dem Typen, der die QS macht. Daher ist es ein Problem, egal wie oft du hier eins über "Profis machen sowas nicht" schwadronierst. 99% der Leute sind eben keine IT-Profis, stell dir vor.
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  11. #11
    Cloogshicer®

    Moderator

    Avatar von dexter
    Registriert seit
    Jul 2013
    Beiträge
    1.873

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    Zitat Zitat von Metal_Warrior Beitrag anzeigen
    99% der Leute sind eben keine IT-Profis, stell dir vor.
    Das sollte aber die von Dir angesprochenen Firmen "entlasten"; die Sekretärin hat keinen Plan, aber es gibt einen Admin, der verhindern kann, dass DIE HTML oder JS in Mails zulassen kann. Ja, ist Wunschdenken, aber die 99% sind einfach nicht das Problem, sondern die ~1% Deppen, die nen Job als Admin haben und/oder sich vom Chef Sicherheitslücken diktieren lassen (statt andersrum und ohne Lücken).
    Wer nachts schläft, muss sich nicht wundern, wenn er tagsüber arbeitet!

  12. #12
    Dr. Zyn. Avatar von Novgorod
    Registriert seit
    Jul 2013
    Ort
    Tiefste Sowjetunion
    Beiträge
    2.804

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    @Metal_Warrior: jo, und für genau diese 99% ist die nutzung von PGP, S/MIME oder was auch immer ebenso irrelevant wie dieser "hack"..

  13. #13
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.190
    ngb:news Artikel
    6

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    @Novgorod: Von wegen - ich kenne genug Einrichtungen, bei denen auch die Sekretärin mit S/MIME kommuniziert. Wurde ihr so eingerichtet und funktioniert einfach.
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  14. #14
    Mitglied Avatar von c1i
    Registriert seit
    Jul 2013
    Ort
    ja
    Beiträge
    285

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    Wundert mich etwas, dass hier noch niemand angemerkt hat, dass die Lücke nicht in der Verschlüsselung klafft, sondern in den Addons dessen, welche ganz andere Leute programmieren. Die Addons sind vorn Arsch, nicht die Verschlüsselung, denn diese machen das Tor auf.

    Klar ist es recht umständlich seinen Schlüssel immer per Hand einzugeben ( ) aber genau das übernimmt das entsprechende Addon und macht die Scheune auf.

  15. #15
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.190
    ngb:news Artikel
    6

    Re: Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

    @c1i: Bei PGP hast du recht, bei S/MIME hingegen klafft eine Lücke direkt in der Verschlüsselung, nämlich die Ciphertext-Injection-Lücke, die durch fehlende Ciphertext-Prüfung ausnutzbar ist. Das hat nix mit dem Addon zu tun, und auch die HTML-Geschichte ist nicht das Problem der Addons, sondern des HTML-Parsings im Client.
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •