Es steht fest: Verschlüsselte E-Mails sind nicht sicher.

Was die Forscher herausgefunden haben, ist so verheerend, dass das Vertrauen in verschlüsselte Mails zumindest auf absehbare Zeit verloren sein dürfte. “E-Mail scheint kein sicheres Kommunikationsmedium mehr. Ganz einfach lassen sich die Angriffe auf verschlüsselte E-Mails mit S/MIME und OpenPGP erklären. Wenn man es einmal verstanden hat, weiß man auch, warum das mit dem Fixen nicht ganz so einfach ist. Betroffen sind beide Verfahren, mit denen weltweit E-Mails verschlüsselt werden. S/Mime und PGP. Firmen verwenden in der Regel S/Mime, Aktivisten, Whistleblower und Journalisten hingegen PGP.

Ein Forscherteam hat erfolgreiche Angriffe gegen verschlüsselt verschickte E-Mails demonstriert. Der Angreifer gelangt dabei zumindest in den Besitz eines Teils des Klartexts der Mails. Betroffen sind die beiden am weitesten verbreiteten Standards für E-Mail-Verschlüsselung S/MIME und OpenPGP – sowie in der ein oder anderen Form nahezu alle E-Mail-Programme. Die wichtigste Voraussetzung für einen erfolgreichen Angriff ist, dass der Angreifer die verschlüsselte Mail unterwegs abfangen und manipulieren kann. Dies trifft in den meisten Fällen zu, in denen die Ende-zu-Ende-Verschlüsselung von PGP oder S/MIME eigentlich Schutz bieten soll.

Grundsätzliches Problem der E-Mail-Verschlüsselung: Die E-Mails sind nicht bzw. nicht ausreichend gegen solche Manipulationen gesichert. Der Angreifer kann somit die Mail derart verändern, dass der Mail-Client beim Anzeigen der entschlüsselten Mail die eigentlich geheimen Informationen an Dritte weitergibt. Der Angreifer knackt also nicht die Verschlüsselung und er gelangt auch nicht in den Besitz geheimer Schlüssel.

Geheimnisse von Konzernen weltweit, aber auch vertrauliche Botschaften, die sich Menschenrechtsaktivisten, Anwälte und Journalisten schicken. Alle diese Nachrichten sind nun im Nachhinein entschlüsselbar.

 

NSA verzweifelte an PGP-Verschlüsselung

Die Angriffe funktionieren nicht beliebig, sondern nur unter bestimmten Bedingungen. Normale E-Mails sind hiervon nicht betroffen, wobei hier aber ohnehin klar ist, dass diese grundsätzlich deutlich schlechter geschützt sind.

Wenn überhaupt entsteht die Verschlüssellung der Daten auf dem Transportweg, also auf ihrem Weg durch das Internet von Postfach zu Mailserver, von dort ins Netz, der gleiche Weg zurück ins Empfänger-Postfach. Die Mail selbst liegt auf den Servern jeweils im Klartext vor und kann mitgelesen werden – wie eine Postkarte. Bei einer mit S/Mime oder PGP verschlüsselten Mail geht das nicht. Unbefugte bekommen nur Datenwust zu sehen. Den nennen IT-Sicherheitsexperten Ciphertext.

Denn bei S/Mime und PGP werden pro E-Mail-Adresse zwei Schlüssel erzeugt, die zusammengehören:

einer privat, einer öffentlich. Die Privatschlüssel liegen nicht auf einem Server, sondern auf dem Laptop der Person, der die Mail-Adresse gehört. Solange der private Schlüssel gut geschützt wird, so dachte man, ist egal, ob jemand die E-Mail abfängt. Und genau so ist es ja auch nachzulesen in den NSA-Dokumenten des Whistleblowers Edward Snowden, die der SpiegelEnde 2014 veröffentlichte. Dort heißt es in einer Folie: “No decrypt available for this PGP encrypted message.”

Die NSA fing eine E-Mail ab, aber konnte die Verschlüsselung nicht brechen. Der wohl mächtigste Geheimdienst der Welt scheiterte jahrelang an PGP. Snowden war deshalb überzeugt! “Richtig eingestellte kryptografische Verfahren gehören zu den wenigen Dingen, auf die man sich verlassen kann.”

Im Kern funktioniert das Aushebeln des Mail-Schutzes so: Die Angreifer wollen bei einer Person wissen, welche Themen in den vergangenen Jahren kommuniziert wurden. Die Angreifer besitzen den Ciphertext, also den Datenwust. Diesen präparieren sie und verschicken ihn an diese Person. Der Text der E-Mail kann vollkommen unverfänglich sein, z.B. eine Einladung zum Kaffee. Aber in derselben Mail wird, ohne dass es für das bloße Auge sichtbar wäre, der Datenwust versteckt. Der Computer öffnet die Botschaft, erkennt den Datenwust und stellt fest, dass er den verschlüsselten Text entziffern kann. Schließlich verfügt er über den Privatschlüssel. Aber kaum ist der präparierte Text entziffert, wird er an eine Seite verschickt, welche von den Angreifern kontrolliert wird.

Zwei Bedingungen, ein Angriff

Der Angriff der Forscher basiert auf zwei Bedingungen: Erstens, sie besitzen den Ciphertext. Zweitens, im E-Mail-Programm wird HTML erlaubt. Nur dank HTML lassen sich zum Beispiel die Links in einer E-Mail anklicken. Die Mail wird so abgeändert, dass sie Elemente nachlädt, also Webseiten besucht, die die Forscher bestimmen können. Ähnliches passiert, wenn in E-Mail-Signaturen zum Beispiel das Firmenlogo auftauchen soll. Das Logo muss erst einmal nachgeladen werden.

Es gibt zwei unterschiedliche Wege, um an die Mails zu kommen. Die erste Variante funktioniert sowohl für S/Mime als auch für PGP. Der Fehler liegt nicht im Algorithmus, sondern in der Art, wie E-Mail-Programme die Nachrichten verarbeiten. Schinzel sagt, dass diese Variante sehr einfach nachzubauen sei.

E-Mails werden auf technischer Ebene in mehrere Blöcke aufgeteilt. In einen dieser Blöcke, nicht dort, wo der eigentliche Text angezeigt wird, packen die Forscher den Datenwust. Um diesen herum bauen sie einen HTTP-Link. Das E-Mail-Programm entziffert die Mail und denkt, dass es sich um eine Webseite handelt, von der zum Beispiel ein Bild nachgeladen werden soll – und dabei bekommen die Angreifer den Text der Mail zugeschickt.

“Das Ergebnis ist wirklich elegant”

Der zweite Angriff hebelt die Verschlüsselung von S/Mime und PGP aus. Zur Veranschaulichung – zur Erklärung zum Beispiel als Vergleich ein Briefumschlag mit Sichtfenster. Dort lässt sich die Adresse des Empfängers lesen. Im Fall von S/Mime ist die E-Mail ähnlich und vor allem immer gleich aufgebaut. Das heißt, die Forscher können die Verschlüsselung beeinflussen, weil sie Teile des Inhalts kennen – eben durch das Sichtfenster. Mit diesem Wissen können sie die verschlüsselte E-Mail umschreiben. Diese wird entziffert – und auch in diesem Fall an die Angreifer geschickt.

Matthew Green ist Professor für Kryptografie an der Johns Hopkins University in Baltimore. Er hat die Arbeit der Forscher gelesen und sagt: “Das Ergebnis ist wirklich elegant.” Green sagt, dass er ohnehin nicht empfehlen würde, PGP zu verwenden, da es viele Probleme mit der Verschlüsselung gebe. “Das ist ein weiteres Einschussloch in einem ohnehin durchlöcherten Auto”, sagt er.

Weitere News zur DSGVO:

DSGVO Messenger und verschlüsselte E-Mails

https://datenschutzbeauftragter-dsgvo.com/diese-messenger-sind-sicherer-als-verschluesselte-e-mails/