idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Medienpartner:
Wissenschaftsjahr


Teilen: 
15.05.2018 09:36

Verschlüsselungen für E-Mails gebrochen

Katharina Kipp Pressestelle
Fachhochschule Münster

    Forscher der FH Münster, der Ruhr-Universität Bochum und der Katholieke Universiteit Leuven haben Verschlüsselungsstandards für E-Mails gebrochen und somit gravierende Sicherheitslücken gefunden.

    Münster/Steinfurt/Bochum (15. Mai 2018). Vor fünf Jahren begann Edward Snowden, Enthüllungs-E-Mails mit streng geheimen Regierungsinformationen an Journalisten zu schicken. Damit seine Mails auch wirklich sicher waren, nutzte er eine gängige und bislang für sicher gehaltene, zusätzliche Verschlüsselungsschicht: OpenPGP. Mit dieser Technologie können Angreifer selbst dann Emails nicht lesen, wenn Sie Zugriff auf das Emailkonto eines Opfers haben. „Genau diese Verschlüsselungs-Technologie können wir jetzt aufbrechen“, sagt Prof. Dr. Sebastian Schinzel vom Fachbereich Elektrotechnik und Informatik der FH Münster. Gemeinsam mit seinem Team und Wissenschaftlern der Ruhr-Universität Bochum (RUB) sowie der Katholieke Universiteit Leuven hat er diese Sicherheitslücke aufgedeckt. Gleiches gilt für die ebenfalls gängige Verschlüsselungstechnologie S/MIME. Somit ist es für Angreifer möglich, sogar zusätzlich verschlüsselte, vertrauliche E-Mails im Netz zu lesen.

    Ihren Angriff nennen die Wissenschaftler Efail, und er war bei 25 von 35 getesteten E-Mail-Programmen für S/MIME und bei 10 von 28 bei OpenPGP erfolgreich. „In anderen Internetstandards wie zum Beispiel TLS, kurz für Transport Layer Security, ein Protokoll zur Verschlüsselung von Datenübertragungen im Internet, wurde diese Art der Kryptografie schon mehrfach gebrochen“, erklärt Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit der RUB. „Ihre Anfälligkeit in E-Mail-Verschlüsselung haben wir aber zum ersten Mal nachgewiesen.“ Und das Problem ist, dass der Fehler im Standard liegt. OpenPGP und S/MIME sind seit den 90er-Jahren ohne großartige Updates im Einsatz, sind der mathematische Briefumschlag für E-Mails, die sonst wie Postkarten durch das Internet geschickt werden. Alle großen IT-Unternehmen wie Apple und Microsoft wissen bereits Bescheid und arbeiten mit ihren Experten daran, die Sicherheitslücke zu schließen.

    Viele Unternehmen verschlüsseln ihren E-Mail-Verkehr mit S/MIME, OpenPGP wird eher von Einzelpersonen genutzt, zum Beispiel von Journalisten in Krisengebieten, politischen Aktivisten oder Whistleblowern wie Edward Snowden. So oder so sind die beiden Verschlüsselungsverfahren aktuell untauglich für eine sichere Kommunikation. „Bei unserem Angriff haben wir die verschlüsselten Mails so modifiziert, dass externe Bilder nachgeladen werden“, erklärt Schinzel. „Das passiert über HTTP-Links und im Pfad dieser Links liegen dann Teile des Klartexts, dem Inhalt der Nachricht, eingebettet.“ Wenn die modifizierte E-Mail beim Empfänger angezeigt wird, ist es also schon zu spät – der Klartext wurde dann bereits an den Angreifer geschickt.

    Die Internet Engineering Task Force, eine herstellerübergreifende, internationale Organisation, muss jetzt für einen neuen Standard sorgen, sagt das Forscherteam.


    Weitere Informationen:

    https://fh-muenster.de/it-sicherheit Prof. Dr. Sebastian Schinzel
    https://www.hgi.rub.de Horst-Görtz-Institut für IT-Sicherheit an der RUB


    Merkmale dieser Pressemitteilung:
    Journalisten, Wissenschaftler, jedermann
    Informationstechnik
    überregional
    Forschungsergebnisse
    Deutsch


    Haben Mail-Verschlüsselungen gehackt (v.l.): Prof. Dr. Jörg Schwenk (RUB), Christian Dresen (FH Münster), Jens Müller (RUB), Prof. Dr. Sebastian Schinzel (FH Münster), Fabian Ising (FH Münster).


    Zum Download

    x

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).

    Cookies optimieren die Bereitstellung unserer Dienste. Durch das Weitersurfen auf idw-online.de erklären Sie sich mit der Verwendung von Cookies einverstanden. Datenschutzerklärung
    Okay