Efail – EFF warnt vor PGP: Verschlüsselungstool sofort deaktivieren

Update

Mit OpenPGP und S/MIME verschlüsselte E-Mails sind anfällig gegen Angriffe, wie jetzt eine Forschergruppe nachgewiesen hat. Eigentlich war die Veröffentlichung für diesen Dienstag geplant, nach einigen Leaks der Forschungsergebnisse wurden die Ergebnisse jetzt auf der Seite Efail.de öffentlich vorgestellt. 

Die Verschlüsselung PGP wird oft von Journalisten und Oppositionellen verwendet, um sich vor Staatsorganen zu schützen. Es ist als Angrifsszenario also durchaus möglich, dass der Angreifer Zugriff auf E-Mail-Server der Opfer hat, ihm fehlen nur die Schlüssel für die Entschlüsselung einer Nachricht. Die Verschlüsselung selbst wurde nicht geknackt, der Trick ist das Entschlüsseln per Absender: Mit einem Trick nutzt dazu der Angreifer den E-Mail-Client des Absenders, von den Forschern Direct exfiltration genannt: Ein Angreifer versteckt den zu entschlüsselnden Text in einer HTML-E-Mail – in einem Szenario in einem nicht geschlossenen Image-Tag. Sorgt ein Plug-in für die automatische Entschlüsselung, wird der verschlüsselte Code bei Öffnen der E-Mail entschlüsselt. Zurück zum Absender gelangt dieser Code per HTTP-Request. Von den 48 von den Forschern getesteten E-Mail-Client waren fünf für diesen Angriff besonders anfällig: Apple Mail, Apple Mail für iOS, Thunderbird, Postbox und Mail Mate. Bei den beiden Apple Mail-Versionen besonders kritisch: Die beiden Programme laden externe Bilddateien ohne Nachfrage, bei den anderen müssen die Nutzer zum Laden der Inhalte verleitet werden – etwa mit einem versteckten Formular. Auch gegen die Verschlüsselung S/MIME haben die Entwickler eine Angriffsmethode vorgestellt, hier sind aber eher Firmen betroffen.

Aktuell empfehlen die Forscher deshalb, bei E-Mail-Clients Plug-ins für die Entschlüsselung wie GPG-Mail zu deaktivieren. Man kann für das Verschlüsseln von Nachrichten gefahrlos externe Tools verwenden. Besonders gefährlich: Das Deaktvieren von HTML-Mail ist bei Apple Mail anscheinend nicht ausreichend. Grundsätzlich besteht aber immer die Gefahr, dass Inhalte versehentlich nachgeladen werden, weshalb auch die EFF aktuell das Deinstallieren der Verschlüsselungs-Plug-ins empfiehlt. 

Empört reagierten die Entwickler des Verschlüsselungsprojekts OpenPGP jetzt auf die Veröffentlichung und haben bereits eine Pressemitteilung veröffentlicht. Nach ihrer Meinung liegt das Problem nicht bei PGP und Open PGP sondern bei den Herstellern der E-Mail-Client: „It’s not an attack on OpenPGP.    It’s an attack on broken email clients that ignore GnuPG’s warnings and do silly things after being warned.“

Ursprünglicher Artikel

Lücken in Sicherheitstools sind nicht ungewöhnlich, eine aktuelle Warnung der Electronic Frontier Foundation ist dies dagegen schon: Nach Bekanntwerden einer Schwachstelle in PGP und S/MIME rät die Organisation allen PGP-Nutzern zur sofortigen Deaktivierung des Verschlüsselungstools.

Die Hintergründe der Schwachstelle sollen erst in am Dienstag bekannt gegeben werden, schon jetzt sollen alle Nutzer eines PGP-Plug-ins keine verschlüsselten E-Mail mehr versenden und die entsprechenden Plug-ins deinstallieren. Auf dem Mac sind davon vor allem Nutzer der so genannten GPGTools betroffen, ebenso Thunderbird-Nutzer mit Enigmail und unter Windows das Outlook-Tool Gpg4Win. Entsprechende Deinstallations-Anleitungen hat die EFF gleich mit veröffentlicht. Was anscheinend oft missverstanden wird: Nicht zur kompletten Deinstallation von PGP wird aufgerufen, nur der Plug-ins. Für die Entschlüsselung alter Nachrichten benötigt man ja weiter seine Schlüsseldateien.

Entdeckt wurde die Sicherheitslücke von europäischen Forschern, zu denen Sebastian Schinzel gehört. Laut seinem Twitter-Feed können die Sicherheitslücken den Text einer verschlüsselten E-Mail zugänglich machen, ebenso den Text älterer verschlüsselter E-Mails. Warum die sofortige Deaktivierung empfohlen wird, soll laut Schinzel erst am Dienstag genauer erklärt werden.

We’ll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4

— Sebastian Schinzel (@seecurity) 14. Mai 2018

Anleitung für Mail-Nutzer:

Die Deinstallation des GPG-Plugins für Apple Mail ist einfach, man muss nur die  Datei „GPGMail.mailbundle“ im Library-Ordner Mail im Unterordner „Bundels“ löschen. (/Library/Mail/Bundles). Je nach Installationsart befindet sich die Datei im Library-Ordner des Benutzers oder des Systems (~/Library/Mail/Bundles). Tipp: Man kann die Pfadangaben  im Finder über „Gehe zu > Gehe zum Ordner…“ eingeben. Vor der Löschung muss man Mail beenden, das Entfernen aus dem Library-Ordner erfordert die Eingabe des Nutzerkennworts.