Kritische Lücken in PGP- und S/MIME-Verschlüsselungen entdeckt? (Update)

Eine Bericht sorgt für Aufregung: verschlüsselte Mails könnten im Klartext angezeigt werden. Alles primär ein Hype?
 
PGP- und S/MIME-User sollten aufpassen: Die Verschlüsselungstools haben kritische Lücken und ihre E-Mails könnten im Klartext angezeigt werden. Dies hat ein europäisches Forscherteam entdeckt. Sebastian Schinzel, Security-Professor an der Universität Münster warnte via Twitter, dass auch keine verlässlichen Fixes verfügbar seien.
 
Dies allein wäre schon sehr beunruhigend, aber es könnte noch schlechter kommen. Von den Lücken betroffen sind laut den Forschern auch früher versandte E-Mails.
 
Die Electric Frontier Foundation (EFF) hat den Bericht der Forschergruppe überprüfen können und bestätigt den Befund in einem Blog-Post: "EFF hat mit dem Forschungsteam kommuniziert und kann bestätigen, dass diese Sicherheitslücken ein unmittelbares Risiko für diejenigen darstellen, die diese Tools für die E-Mail-Kommunikation verwenden, einschliesslich der potenziellen Offenlegung von Inhalten früherer E-Mails".
 
Auch einig sind sich die Forscher und EFF über den nächsten Schritt: Tools, die PGP-verschlüsselte E-Mails automatisch entschlüsseln, sofort deaktivieren und/oder deinstallieren. Ausserdem solle man zumindest temporär auf den Messenger Signal oder vergleichbare Tools umsteigen und keine E-Mails versenden beziehungsweise lesen.
 
Betroffen seien Thunderbird mit Enigmail, Apple Mail mit GPGTools und Outlook mit Gpg4win. Technische Details sind aber noch unbekannt, ebenso ist unklar, ob beispielsweise auch Protonmail betroffen ist.

Anders sieht dies der Verantwortliche für die GnuPG FAQ. Er hält die Warnungen für übertrieben und schreibt "Don't Panic". Er habe, ebenso wie ein Enigmail-Verantwortlicher, die Dokumente einsehen können und "wir sind beide nicht beunruhigt".
 
Die Forscher der Fachhochschule Münster, Ruhr-Universität, KU Leuven Universität sowie dem Horst-Goertz-Institut Bochum haben die Publikation ihres Berichts für 15. Mai angekündigt. Die Forscher hätten die involvierten Vendors und Projekte über ihre Erkenntnisse informiert, so Schinzel auf Twitter.
 
Paper vorzeitig publiziert: Hype oder Riesenleck?
Inzwischen sahen sich die Forscher wegen eines Leaks gezwungen, Informationen
Resultate der Forscher nach E-Mail-Clients (Grafik: efail.de)
vorzeitig unter dem Titel "Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels" zu publizieren.
 
Sie erläutern, wie Efail aktive Inhalte von HTML-E-Mails, beispielsweise extern geladene Bilder oder Styles nutzen kann, um Klartext via URLs zu extrahieren. Um dies zu können, benötige der Angreifer in einem ersten Schritt Zugriff auf die verschlüsselten E-Mails, indem er beispielsweise den Netzwerkverkehr abgehört und E-Mail-Konten, E-Mail-Server, Backup-Systeme oder Client-Computer kompromittiert. Dies klappe auch mit vor Jahren archivierten E-Mails.
 
Die schwerwiegendsten Sicherheitslücken seien mehr als zehn Jahre alt, finden sich in Thunderbird, macOS Mail und Outlook und es gebe derzeit keine Fixes, so die Forscher. "Wenn Sie PPG oder S/MIME für sensible Informationen verwenden, ist das eine grosse Sache", zitiert 'Ars Technica' Matt Green, Professor für Verschlüsselung an der Johns Hopkins University, in einer ersten Stellungnahme. "Es bedeutet, dass diese E-Mails möglicherweise nicht sicher sind".
 
Man solle nun HTML im E-Mail-Client deaktivieren, um die Situation entschärfen.
Das ganze 19-seitige Paper der Forscher (PDF) zeigt tabellarisch die Resultate für E-Mail-Clients. Laut den Forschern ist der Schweizer E-Mail-Service Protonmail nicht betroffen.
 
Wie gravierend die Erkenntnis ist, muss sich unter Security-Experten noch zeigen, momentan hat die Debatte erst begonnen. Es kann auch sein, dass "Efail" primär ein neuer, zusätzlicher Exploit in HTML-Mails ist und in dem Sinne auch als klassische Man-in-the-Middle-Attacke bezeichnet werden darf. Die GnuPG und Gpg4Win-Teams erklären jedenfalls, im Paper gehe es um "buggy E-Mail-Clients", nicht mehr, nicht weniger. (Marcel Gamma)
 
(Update vom 14.5.2018 nach vorzeitiger Publikation des Papers wurde der Text mit den fünf Schlussabschnitten ergänzt.)