Einem Forscherteam der FH Münster, der Ruhr-Universität Bochum und der KU Löwen in Belgien ist es in einem Test gelungen, die Verschlüsselung von E-Mails per PGP und S/Mime zu umgehen.
In dem Verfahren wird eine verschlüsselte Mail abgefangen und der Ciphertext versteckt in einer unverfänglichen Mail an den ursprünglichen Empfänger gemailt. Da der Empfänger den privaten PGP-Schlüssel besitzt, wird der Ciphertext automatisch entschlüsselt.
Sofern der Mail-Client auf dem Empfänger-Computer nun noch HTML erlaubt, laden die präparierten HTML-Elemente in der Mail eine Website im Hintergrund nach, über die dann der entschlüsselte Text an den Angreifer gelangt.
Ein Schließen der Lücke ist nicht ohne Weiteres möglich und wird wahrscheinlich mehrere Monate in Anspruch nehmen.
Nachdem nun PGP und S/Mime nicht länger sicher sind, gibt es aktuell keine sichere Möglichkeit per E-Mail zu kommunizieren.
Quelle
Eigener Kommentar:
Ob das Verbieten von HTML im Mail-Client als Schutz ausreicht, war für mich nicht erkennbar.
Ggf. wird dies nochmal eindeutiger geklärt.
In dem Verfahren wird eine verschlüsselte Mail abgefangen und der Ciphertext versteckt in einer unverfänglichen Mail an den ursprünglichen Empfänger gemailt. Da der Empfänger den privaten PGP-Schlüssel besitzt, wird der Ciphertext automatisch entschlüsselt.
Sofern der Mail-Client auf dem Empfänger-Computer nun noch HTML erlaubt, laden die präparierten HTML-Elemente in der Mail eine Website im Hintergrund nach, über die dann der entschlüsselte Text an den Angreifer gelangt.
Ein Schließen der Lücke ist nicht ohne Weiteres möglich und wird wahrscheinlich mehrere Monate in Anspruch nehmen.
Nachdem nun PGP und S/Mime nicht länger sicher sind, gibt es aktuell keine sichere Möglichkeit per E-Mail zu kommunizieren.
Quelle
Eigener Kommentar:
Ob das Verbieten von HTML im Mail-Client als Schutz ausreicht, war für mich nicht erkennbar.
Ggf. wird dies nochmal eindeutiger geklärt.
Zuletzt bearbeitet: