S/MIME und OpenPGP verschlüsselte E-Mails: Efail-Schwachstellen können Ausleitung von Klartext erlauben

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: BSI Bürger-CERT
Veröffentlicht von SecuPedia-Redaktion am 15. Mai 2018.

Art der Meldung: Warnmeldung
Risikostufe 3
S/MIME und OpenPGP verschlüsselte E-Mails: Efail-Schwachstellen können Ausleitung von Klartext erlauben


15.05.2018
Betroffene Systeme:
Open Source S/MIME
PGP Corporation OpenPGP

Empfehlung:
Das Bürger-CERT empfiehlt bei dem Einsatz von E-Mail-Verschlüsselung auf Basis von OpenPGP und S/MIME kurzfristig in den jeweiligen E-Mail-Programmen aktive und
entfernte Inhalte zu deaktivieren. In den meisten E-Mail-Programmen lässt sich dies durch eine reine Textdarstellung von E-Mails (Deaktivierung von HTML-E-Mails) und das Unterbinden von extern nachgeladenen Inhalten/Grafiken einstellen. Diese  Einstellungen sind zudem in vielen Webmail-Diensten zu finden. Mittelfristig sollten, sofern durch den Hersteller bereitgestellt, die jeweiligen Sicherheitsupdates für die genutzten E-Mail-Clients zeitnah installiert werden. Langfristig ist eine Anpassung der OpenPGP- und S/MIME-Standards sowie deren Implementierung erforderlich, dieses
ist Aufgabe der jeweiligen OpenPGP- und S/MIME-Arbeitsgruppen.

Beschreibung:
Open Pretty Good Privacy (OpenPGP) und S/MIME sind die am häufigsten für eine
Ende-zu-Ende-Verschlüsselung von E-Mails eingesetzten Verfahren. Während S/MIME bei den meisten E-Mail-Programmen bereits direkt genutzt werden kann, kommt bei OpenPGP meist ein weiteres Programm, wie GPG4Win (Windows), GPG Suite (macOS) oder ein Plug-in für das genutzte E-Mail-Progamm (z. B. Enigmail für Mozilla Thunderbird) zum Einsatz.

Zusammenfassung:
Ein Angreifer kann mit Zugriff auf verschlüsselte E-Mails eines Opfers (z. B. indem eine E-Mail während des Transports oder auf einem E-Mail-Server abgefangen wurde oder
Zugriff auf ein E-Mail-Backup bestand) die Efail-Schwachstellen ausnutzen. Um die
E-Mail-Inhalte im Klartext einsehen zu können, wird eine verschlüsselte E-Mail durch den Angreifer mit aktiven Inhalten manipuliert. Nach der Entschlüsselung durch den Empfänger werden die aktiven Inhalte ausgeführt und der Klartext der E-Mail an einen Server des Angreifers übertragen.

Quellen:
- https://www.efail.de/
- https://www.bsi-fuer-buerger.de/efail

Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Presse


Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn





 

Kategorien E-Mail Service konfigurieren

  • BSI-Bürger-CERT

Benutzergruppe

  • Alle Benutzer


Anzeigen