TW-T18-0068 – S/MIME und OpenPGP verschlüsselte E-Mails: Efail-Schwachstellen können Ausleitung von Klartext erlauben

Print Friendly, PDF & Email

Art der Meldung: Warnmeldung
Risikostufe 3
S/MIME und OpenPGP verschlüsselte E-Mails: Efail-Schwachstellen können Ausleitung von Klartext
erlauben

15.05.2018____________________________________________________________________________________________________
Betroffene Systeme:
Open Source S/MIME
PGP Corporation OpenPGP
____________________________________________________________________________________________________
Empfehlung:
Das Bürger-CERT empfiehlt bei dem Einsatz von E-Mail-Verschlüsselung auf Basis von OpenPGP und
S/MIME kurzfristig in den jeweiligen E-Mail-Programmen aktive und entfernte Inhalte zu
deaktivieren. In den meisten E-Mail-Programmen lässt sich dies durch eine reine Textdarstellung von
E-Mails (Deaktivierung von HTML-E-Mails) und das Unterbinden von extern nachgeladenen
Inhalten/Grafiken einstellen. Diese Einstellungen sind zudem in vielen Webmail-Diensten zu finden.
Mittelfristig sollten, sofern durch den Hersteller bereitgestellt, die jeweiligen
Sicherheitsupdates für die genutzten E-Mail-Clients zeitnah installiert werden. Langfristig ist
eine Anpassung der OpenPGP- und S/MIME-Standards sowie deren Implementierung erforderlich, dieses
ist Aufgabe der jeweiligen OpenPGP- und S/MIME-Arbeitsgruppen.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Open Pretty Good Privacy (OpenPGP) und S/MIME sind die am häufigsten für eine
Ende-zu-Ende-Verschlüsselung von E-Mails eingesetzten Verfahren. Während S/MIME bei den meisten
E-Mail-Programmen bereits direkt genutzt werden kann, kommt bei OpenPGP meist ein weiteres
Programm, wie GPG4Win (Windows), GPG Suite (macOS) oder ein Plug-in für das genutzte E-Mail-Progamm
(z. B. Enigmail für Mozilla Thunderbird) zum Einsatz.
____________________________________________________________________________________________________
Zusammenfassung:
Ein Angreifer kann mit Zugriff auf verschlüsselte E-Mails eines Opfers (z. B. indem eine E-Mail
während des Transports oder auf einem E-Mail-Server abgefangen wurde oder Zugriff auf ein
E-Mail-Backup bestand) die Efail-Schwachstellen ausnutzen. Um die E-Mail-Inhalte im Klartext
einsehen zu können, wird eine verschlüsselte E-Mail durch den Angreifer mit aktiven Inhalten
manipuliert. Nach der Entschlüsselung durch den Empfänger werden die aktiven Inhalte ausgeführt und
der Klartext der E-Mail an einen Server des Angreifers übertragen.
____________________________________________________________________________________________________
Quellen:
– https://www.efail.de/
– https://www.bsi-fuer-buerger.de/efail
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.