info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
TeleTrusT - Bundesverband IT-Sicherheit e.V. |

E-Mail-Verschlüsselung bleibt sicher

Bewerten Sie hier diesen Artikel:
0 Bewertungen (Durchschnitt: 0)


Angriff auf PGP- und S/MIME-Verschlüsselung nutzt Schwachstellen in E-Mail-Clients


Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) einen Bericht, der die Sicherheit der Verschlüsselungsstandards PGP und S/MIME in Frage stellt...

Berlin, 15.05.2018 (PresseBox) - Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) einen Bericht, der die Sicherheit der Verschlüsselungsstandards PGP und S/MIME in Frage stellt und damit weltweites Aufsehen erregt. Die aufgedeckten Sicherheitslücken (CVE-2017-17688 und CVE-2017-17689) betreffen jedoch nicht die Protokolle selbst, sondern nutzen eine bereits länger bekannte Schwachstelle in E-Mail-Clients, um verschlüsselte E-Mails zu entschlüsseln und dem Angreifer zuzustellen. Die Angriffe sind technisch komplex und benötigen mehrere Schritte zur erfolgreichen Umsetzung.

Erste Voraussetzung für einen erfolgreichen Angriff: Die E-Mail muss bereits in verschlüsselter Form beim Angreifer vorliegen. Hierfür muss er die E-Mails auf dem Transportweg per "Man-in-the-Middle"-Attacke abfangen oder einen Mailserver kompromittiert haben.

Anschließend könnten die Angreifer laut den Autoren des Papers zwei sich ähnelnde Angriffsmethoden anwenden, um E-Mails mit vorhandener PGP- oder S/MIME-Verschlüsselung zu entschlüsseln. Der erste Angriff ist recht simpel auszuführen, dafür aber auf bestimmte Mail-Clients (Apple-Mail, iOS-Mail, Mozilla Thunderbird) und ggf. dort installierte Plugins von Drittanbietern beschränkt. Die zweite Möglichkeit, um PGP- oder S/MIME-verschlüsselte E-Mails auszulesen, besteht aus einer schon länger bekannten Methode zum Extrahieren von Plaintext in Blöcken verschlüsselter Nachrichten. Bei beiden Arten werden die abgefangenen verschlüsselten E-Mails manipuliert.

Wichtig bei diesen beiden Angriffsmethoden ist, dass die Verschlüsselungsmethoden S/MIME und PGP selbst nicht gebrochen werden; vielmehr nutzen sie Schwachstellen in E-Mail-Clients für HTML-Mails aus, um die Verschlüsselungstechniken zu umgehen.

"Die Darstellung, PGP und S/MIME seien nicht mehr sicher, erweist der IT-Sicherheit einen Bärendienst", sagt Oliver Dehning, Leiter der TeleTrusT-AG "Cloud Security" und Geschäftsführer des Cloud-Security-Anbieters Hornetsecurity. "Sie läuft allen Bemühungen zuwider, die Sicherheit des Kommunikationsmittels E-Mail zu erhöhen. Die Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung ist nicht nachvollziehbar. Das Gegenteil ist richtig: E-Mail-Verschlüsselung erhöht die Sicherheit und sollte unbedingt eingesetzt werden."

Auch das Bundesamt für Sicherheit in der Informationstechnik weist darauf hin, dass PGP und S/MIME weiterhin sicher eingesetzt werden können, wenn sie korrekt implementiert und sicher konfiguriert sind.


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 312 Wörter, 2702 Zeichen. Pressemitteilung reklamieren


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von TeleTrusT - Bundesverband IT-Sicherheit e.V. lesen:

TeleTrusT - Bundesverband IT-Sicherheit e.V. | 19.01.2017

Bundesverband IT-Sicherheit e.V. begrüßt ProSiebenSat.1 als neues Mitglied

Berlin, 19.01.2017 - Die ProSiebenSat.1 Media SE ist dem Bundesverband IT-Sicherheit e.V. (TeleTrusT) beigetreten. Das Medienunternehmen unterstreicht damit die Bedeutung von IT-Sicherheit, Informations- und Datenschutz für die Kernbereiche seiner G...
TeleTrusT - Bundesverband IT-Sicherheit e.V. | 20.10.2014

TeleTrusT-Qualitätszeichen "IT Security made in Germany" für Rohde & Schwarz SIT

Berlin, 20.10.2014 - Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat das Qualitätszeichen "IT Security made in Germany" an die Rohde & Schwarz SIT GmbH Berlin vergeben. Damit sind aktuell 100 Unternehmen berechtigt, das Zeichen zu führen."Deut...
TeleTrusT - Bundesverband IT-Sicherheit e.V. | 16.10.2014

TeleTrusT-Innovationspreis 2014 für NCP engineering GmbH Nürnberg

Berlin, 16.10.2014 - Der diesjährige TeleTrusT-Innovationspreis wurde an die NCP engineering GmbH Nürnberg vergeben. Die Preisübergabe erfolgt am 15.10.2014 auf der 16. "Information Security Solutions Europe Conference" (ISSE) in Brüssel.Die "NCP...