"Verheerende" Folgen:
PGP-verschlüsselte Mails sind nicht länger sicher
Es wird heutzutage immer wieder der Begriff Security-Super-GAU verwendet, im aktuellsten Fall kann man aber wohl tatsächlich davon sprechen (sieht man davon ab, dass er eigentlich an Atomkraft geknüpft ist): Denn heute wurde bekannt, dass zwei bisherige Eckpfeiler der privaten Sicherheit, PGP und S/MIME, völlig unsicher sind.
So funktioniert PGP
Pretty
PGP, kurz für Pretty Good Privacy, ist das wohl bekannte Verschlüsselungssystem für Privatanwender, das von Phil Zimmermann geschriebene Programm galt bisher als zuverlässiger Schutz vor allem für E-Mails. Doch offenbar muss man PGP nun in PBP umbenennen: Pretty Bad Privacy, also ziemlich schlechte Privatsphäre. Ähnliches gilt für das hybride Kryptosystem S/MIME (Secure/Multipurpose Internet Mail Extensions).
Denn deutsche und niederländisch-belgische Sicherheitsforscher - ein Team der FH Münster, der Ruhr-Universität Bochum sowie der KU Löwen in Belgien - haben einen Weg gefunden beide Verschlüsselungssysteme auszuhebeln. Unter der Leitung von Sebastian Schinzel, Professor für angewandte Kryptografie, begleitet von der Süddeutschen Zeitung sowie dem NDR und WDR, ist es den Krypto-Experten gelungen, PGP und S/MIME zu knacken.
Laut SZ wurden die gefundenen Methoden von unabhängigen Experten bestätigt, die Zeitung spricht von "verheerenden" Funden und dass "das Vertrauen in verschlüsselte Mails zumindest auf absehbare Zeit" verloren sei.
Bei beiden Verschlüsselungsmethoden werden zwei Schlüssel erzeugt, ein öffentlicher und ein privater. Letzterer ist nur auf der Festplatte des jeweiligen Nutzers zu finden und ohne diesen lässt sich eine abgefangene Mail auch nicht knacken.
Voraussetzung sind der Ciphertext und die Erlaubnis des Mail-Programms zu HTML. Das Protokoll ist nämlich notwendig, um Dateien aus dem Internet nachladen zu können - etwa ein Firmenlogo für eine Signatur.
Die Sicherheitsforscher haben alle beteiligten Firmen und Entwickler schon vor Monaten über ihre anstehende Enthüllung in Kenntnis gesetzt, doch nicht alle haben es bisher geschafft diese Lücke zu schließen. Einen zuverlässigen allgemein Fix gibt es laut Schinzel derzeit nicht. Er rät wie die Electronic Frontier Foundation (EFF) PGP-Nutzern deshalb derzeit dazu, diese Verschlüsselung bis auf Weiteres komplett zu deaktivieren und bei Bedarf auf sichere Messenger wie Signal zurückzugreifen.
So funktioniert PGP
Pretty Good Bad Privacy
PGP, kurz für Pretty Good Privacy, ist das wohl bekannte Verschlüsselungssystem für Privatanwender, das von Phil Zimmermann geschriebene Programm galt bisher als zuverlässiger Schutz vor allem für E-Mails. Doch offenbar muss man PGP nun in PBP umbenennen: Pretty Bad Privacy, also ziemlich schlechte Privatsphäre. Ähnliches gilt für das hybride Kryptosystem S/MIME (Secure/Multipurpose Internet Mail Extensions).
Denn deutsche und niederländisch-belgische Sicherheitsforscher - ein Team der FH Münster, der Ruhr-Universität Bochum sowie der KU Löwen in Belgien - haben einen Weg gefunden beide Verschlüsselungssysteme auszuhebeln. Unter der Leitung von Sebastian Schinzel, Professor für angewandte Kryptografie, begleitet von der Süddeutschen Zeitung sowie dem NDR und WDR, ist es den Krypto-Experten gelungen, PGP und S/MIME zu knacken.
Laut SZ wurden die gefundenen Methoden von unabhängigen Experten bestätigt, die Zeitung spricht von "verheerenden" Funden und dass "das Vertrauen in verschlüsselte Mails zumindest auf absehbare Zeit" verloren sei.
Bei beiden Verschlüsselungsmethoden werden zwei Schlüssel erzeugt, ein öffentlicher und ein privater. Letzterer ist nur auf der Festplatte des jeweiligen Nutzers zu finden und ohne diesen lässt sich eine abgefangene Mail auch nicht knacken.
Voraussetzung: Cipher und HTML
Doch was bisher der mächtigen NSA nicht gelang, haben nun die europäischen Sicherheitsforscher geschafft. Details wollen sie Ende der Woche in Bochum präsentieren. Nach bisherigen Informationen funktioniert das über einen in einer herkömmlichen Mail versteckten Ciphertext. Dieser ist vom Nutzer an sich nicht erkennbar, sehr wohl aber vom Rechner. Dieser entschlüsselt dann auch bereitwillig den Cipher und so gelangt ein Angreifer an den entzifferten Text, dieser kann dann an eine von einem möglichen Angreifer kontrollierte Seite verschickt werden.Voraussetzung sind der Ciphertext und die Erlaubnis des Mail-Programms zu HTML. Das Protokoll ist nämlich notwendig, um Dateien aus dem Internet nachladen zu können - etwa ein Firmenlogo für eine Signatur.
Die Sicherheitsforscher haben alle beteiligten Firmen und Entwickler schon vor Monaten über ihre anstehende Enthüllung in Kenntnis gesetzt, doch nicht alle haben es bisher geschafft diese Lücke zu schließen. Einen zuverlässigen allgemein Fix gibt es laut Schinzel derzeit nicht. Er rät wie die Electronic Frontier Foundation (EFF) PGP-Nutzern deshalb derzeit dazu, diese Verschlüsselung bis auf Weiteres komplett zu deaktivieren und bei Bedarf auf sichere Messenger wie Signal zurückzugreifen.
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
Forum
-
Diskussionsthread: Playstation 4
Venom316 - Gestern 15:18 Uhr -
ZimaOS - eines der einsteigerfreundlichsten NAS vielleicht....
d-hubs - Gestern 10:22 Uhr -
Mecklenburg-Vorpommern wagt es - setzt sich ab von Microsoft
d-hubs - 08.07. 18:23 Uhr -
Ventoy: das Tool zur Erstellung eines bootfähigen USB-Sticks
d-hubs - 07.07. 16:46 Uhr -
Home Assistant 2026.7 ::
d-hubs - 06.07. 14:38 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen