Geheimdienste hatten keine Chance
Es geht um die zwei wichtigsten Verschlüsselungsverfahren für die digitale Kommunikation: PGP und S/MIME. Diese End-to-End-Verschlüsselungen sollen eigentlich sensible Inhalte vor Angreifern schützen. Die E-Mails waren bislang für Unbefugte nur als ein Mix aus Buchstaben und Zahlen lesbar – selbst für Geheimdienste wie die NSA.
Jetzt haben Forscher Lücken in diesen Verfahren gefunden. Durch die sogenannten „Efail“-Attacken haben sie die verschlüsselten Mails als Klartexte lesbar gemacht. In einem Paper erklären die Forscher der Fachhochschule Münster, der Ruhr-Universität Bochum und der niederländischen Katholieke Universiteit Leuven, wie sie vorgegangen sind.
Seit diese Verschlüsselungsmechanismen in Standard-E-Mail-Programme eingebaut wurden, seit der Zeit war es möglich, diese Angriffe auszuführen. – Juraj Somorovsky, Ruhr-Universität Bochum
Dank Efail: E-Mails nicht mehr sicher?
Efail-Attacken stellen vor allem politische Aktivisten, Journalisten oder Whistleblower vor Probleme. Prof. Dr. Sebastian Schinzel von der FH Münster hat die Forschungsgruppe geleitet. Er sagt, dass E-Mails nicht mehr sicher seien. Somit dürfte auch das Vertrauen in verschlüsselte Mails stark sinken. Denn geheime Informationen können auch im Nachhinein noch entschüsselt werden.
Experten wie die Electronic Frontier Foundation raten dazu, die betroffenen Verschlüsselungen nicht mehr zu nutzen. Deshalb sollte man Programme, die automatisch mit PGP oder S/MIME verschlüsseln, sofort deinstallieren. Stattdessen sollten andere Programme genutzt werden, wie zum Beispiel der Messenger Signal. Denn dieser verschlüssele auf eine andere Weise.
Dr. Ing. Juraj Somorovsky von der Ruhr-Universität Bochum arbeitet am Lehrstuhl für Netz- und Datensicherheit. Er hat an der Forschung mitgearbeitet. Mit detektor.fm-Moderator Lars-Hendrik Setz hat er über die Sicherheitslücken und sichere Kommunikationswege gesprochen.