Sebastian Schinzel, Professor für IT-Sicherheit an der Fachhochschule Münster, hat sich ein gutes halbes Jahr nach der Publikation der massiven, die Ende-zu-Ende-Verschlüsselungstechniken OpenPGP und S/MIME betreffende Efail-Sicherheitslücke am Freitag der auf dem 35. Chaos Communication Congress (35C3) in Leipzig versammelten Hackergemeinde gestellt. Die gängigen Mail-Programme sind ihm zufolge nach harter Arbeit der Entwickler nicht mehr anfällig für Angriffe, bei denen sich die Kommunikation eigentlich verschlüsselter Nachrichten im großen Stil im Klartext auslesen lässt.

E-Mail beziehungsweise die grundlegenden Protokolle SMTP und IMAP seien aber generell "nicht auf sichere Kommunikation ausgelegt", warnte der Informatiker. Daher sei es schwer, darauf eine funktionierende Ende-zu-Ende-Verschlüsselung aufsatteln zu wollen, ohne die Basistechnik grundlegend verändern zu wollen. PGP selbst sei zudem ebenfalls in die Jahre gekommen und verfüge so nicht über "moderne Eigenschaften" von Verschlüsselungsverfahren wie "Forward Secrecy", womit eine archivierte verschlüsselte Kommunikation auch dann nicht nachträglich entschlüsselt werden kann, wenn man einen zuvor ausgetauschten Langzeitschlüssel einsetzt.

Chat-Programme statt E-Mail

Für exponierte Personen, die im Visier "motivierter" Angreifer etwa mit staatlicher Unterstützung oder aus dem Cybercrime-Umfeld stünden, hatte Schinzel im Lichte der von ihm und seinem Team aufgedeckten Schwächen so nur einen Tipp parat: "Vermeiden Sie E-Mail." Der Nachrichtenaustausch über Chat-Programme wie Signal stelle für sie eine bessere Alternative dar.

Allen anderen sicherheitsbewussten Freunden der digitalen Kommunikation empfahl Schinzel, prinzipiell auf OpenPGP zu setzen, solange S/MIME noch nicht "gefixed" sei. Gegenmaßnahmen seien aber auch für diese Verschlüsselungstechnologie, die vor allem im Firmenumfeld verwendet wird, mit einem Entwurf zur Korrektur des HTML-Standards RFC 1866 in der Mache. Bis dahin sei es am besten, im Sinne eines Tutorials von Edward Snowden OpenPGP als eigenständiges Programm zu nutzen und Textteile außerhalb von Mail-Clients oder Webmail-Apps zu ent- beziehungsweise zu verschlüsseln und Ciphertext in die Anwendungen hineinzukopieren.

HTML deaktivieren und keine Zitate

Falls dieses Verfahren nicht praktikabel sei, sollten Nutzer laut Schinzel auf jeden Fall HTML in Mail-Programmen deaktivieren. Dies sei gar nicht so einfach, da viele Clients selbst ASCII-Code zunächst als Hypertext mit unterlegten Links darstellten. Wer darauf klicke, könne den Verschlüsselungsschutz rasch verlieren. Ferner sei ein äußerst vorsichtiger Umgang mit Anhängen erforderlich, da sich tückische Links für Efail-Angriffe auf Verschlüsselung auch etwa in PDFs oder Dokumenten aus Microsoft Office oder LibreOffice finden könnten. Um auf Nummer sicher zu gehen, sollte man zudem in einer Antwort keine Passagen der vorausgegangenen Mail zitieren.

Der Computerwissenschaftler verteidigte sich zudem gegen Vorwürfe vor allem von Entwicklern von Plugins zur Verschlüsselung, nicht rechtzeitig im Vorfeld der Efail-Publikation gewarnt worden zu sein. "Wir haben Vorankündigungen gemacht", betonte Schinzel und verwies auf eine Zeitleiste des unabhängigen Beobachters Thomas Ptacek. Auch GnuPG-Entwickler Werner Koch sei vorab im November 2017 gewarnt worden, habe aber offenbar "vergessen", das Forschungspapier zu lesen und letztlich dann trotzdem das Embargo gebrochen.

Klagen trotz mehrfach verschobener Deadline

Sebastian Schinzel. Professor für IT-Sicherheit an der Fachhochschule Münster. (Bild: CC by 35C3 media.ccc.de)

"Viele Leute beklagten sich immer weiter über die Deadline, obwohl wir sie mehrfach verschoben haben", monierte Schinzel. Erst nach der Veröffentlichung hätten sich einige Entwickler an die notwendigen Korrekturen gemacht und bestehende Lücken in ihren Programmen oft zunächst nur unzureichend abgedichtet. Er selbst habe daraus gelernt, mit Vorankündigungen noch vorsichtiger zu sein, da damit viele Beobachter und Medienvertreter ohne eigene Kenntnisse der Schwächen ins Blaue hinein zu spekulieren begännen und die Lücken damit unterschätzten oder überbewerteten.

Die OpenPGP-Entwickler hatten ein mit Efail erneut hochgekommenes grundlegendes Problem rund um die Integritätssicherung verschlüsselter Inhalte schon vergleichsweise früh erkannt und einen "Modification Detection Code" (MDC) im Form einer Hash-Prüfsumme für Nachrichten eingeführt. Diese zusätzliche Sicherheitsfunktion hatte sich aber lange nicht flächendeckend durchgesetzt, viele PGP-Erweiterungen und -Schlüssel sowie Mail-Clients nutzten sie nicht oder ignorierten beziehungsweise umgingen sie sogar.

Weitere Probleme

Die Situation habe sich inzwischen zwar verbessert, konstatierte Schinzel. Problematisch sei aber nach wie vor, dass ein MDC-Check nur nach der vollen Entschlüsselung von Inhalten möglich sei. Ein neuer OpenPGP-Entwurf unterstütze zwar die Herangehensweise, umfangreichen Klartext in kleinere Teile aufzubrechen und zu authentifizieren, bevor sie an die Mail-Anwendungen geliefert würden. Die Stücke seien teils aber noch immer zu groß, um sie angemessen prüfen zu können. So "streame" etwa GnuPG nicht-authentisierten Klartext mit Segmenten von bis zu 128 Megabyte. Völlig offen sei auch noch bei OpenPGP und S/MIME, wie man mit vor den Korrekturen verschickten E-Mails umgehen könne. (bme)