Forscher finden Schwachstellen in E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP

Veröffentlicht am von

Sicherheitsforscher der Fachhochschule Münster und der Ruhr-Universität Bochum haben Schwachstellen in den Implementierungen der weitverbreiteten E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP gefunden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber im Rahmen eines Coordinated-Vulnerability-Disclosure-Prozesses informiert. Die Schwachstellen ermöglichen Angreifern die Veränderung von E-Mails, so dass die Authentizität und Integrität einer Nachricht beim Empfänger nicht sichergestellt werden kann. Die Entwickler von E-Mailclientsoftware wurden vor der Veröffentlichung informiert und haben Updates zur Verfügung gestellt. Die genannten E-Mail-Verschlüsselungsstandards können daher nach Einschätzung des BSIweiterhin sicher eingesetzt werden, sofern sie wie folgt konfiguriert sind:

  • Die E-Mailclientsoftware muss durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden
  • Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von HTMLCode und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind

Die vorliegenden Schwachstellen betreffen die Signaturprüfung, jedoch nicht die Signaturerstellung. Der Beweiswert der signierten E-Mail selbst wird somit nicht beeinträchtigt. Das BSI hat bislang keine Kenntnis darüber, dass entsprechende Manipulationen von Angreifern bereits durchgeführt wurden.

Forscher finden Schwachstellen in E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP
Forscher finden Schwachstellen in E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP – pixabay.com ©TheDigitalArtist (Creative Commons CC0)

Zur Ausnutzung der gefundenen Schwachstellen nutzten die Sicherheitsforscher verschiedene Angriffsmethoden. Dabei werden alte signierte E-Mails erneut verwendet und sogenannte Injection-Angriffe durchgeführt, fehlerhafte Implementierungen von OpenPGP und S/MIME aufgrund der Komplexität ausgenutzt sowie Mail Header manipuliert. Bei aktiviertem HTML / CSS kann die Anzeige der Auswertung von Signaturen in der Benutzeroberfläche manipuliert werden.

Coordinated Vulnerability Disclosure

Das BSI ist seit März 2019 durch das Forscherteam in den sogenannten Coordinated-Vulnerability-Disclosure-Prozess eingebunden worden. Dieser dient dazu, Herstellern die Möglichkeit zu geben, Patches für gefundene Schwachstellen zu entwickeln, bevor diese Schwachstellen öffentlich werden. Dies reduziert die Zeitspanne deutlich, in der Angreifer neue Schwachstellen ausnutzen können. Das BSI nimmt hierbei eine neutrale und unterstützende Rolle ein, die Hoheit über den Prozess liegt bei den Findern der Schwachstellen.

Mehr zum Thema
  • BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher
  • Apple droht mit Entfernung von Diensten wie FaceTime und iMessage aus dem Vereinigten Königreich
  • Komplexe Cyber-Bedrohungslage für Verbraucherinnen und Verbraucher
  • Messenger- und Video-Dienste: Bundeskartellamt zu Datenschutz, Transparenz und Interoperabilität
    • Letzte Artikel von Bundesamt für Sicherheit in der Informationstechnik (Alle anzeigen)