Statement zu Efail
Sicherheitsforscher der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven veröffentlichten gestern einen Bericht, der die Sicherheit der Verschlüsselungsstandards PGP und S/MIME generell in Frage stellt.
Dieser Bericht fand in den Medien großes Echo und verleitete viele zur Aussage, dass die Verschlüsselung von Mails mit diesen beiden Verfahren nutzlos sei. Die aufgedeckten Sicherheitslücken betreffen jedoch nicht die Technologien selbst, sondern nutzen eine schon längst bekannte Schwachstelle in E-Mail-Clients aus, um den entschlüsselten Text von E-Mails dem Angreifer zuzustellen. In der Praxis kann dieser Angriff aber sehr einfach abgewehrt werden: S/MIME und PGP deshalb als nutzlos zu erklären ist daher völlig unsinnig. Beide Angriffsmethoden können durch Deaktivierung des automatischen Nachladens von Links im E-Mail-Client problemlos abgewehrt werden.
Efail einfach erklärt
Die meisten Mail-Clients laden bei Bedarf Inhalte aus dem Internet nach, damit zum Beispiel Logos im Footer nicht mit der Mail mitgeschickt werden müssen. Dadurch werden generell Informationen aus dem Mail-Client an den Absender weitergegeben. Spammer missbrauchen dies oft, um beispielsweise herauszufinden, ob eine Mail dem Empfänger angezeigt wird. Dies geschieht, indem im aufgerufenen Link die E-Mail-Adresse eingebettet wird, an welche die Spam-Mail geschickt wurde.
Als Vorbedingung für Efail müssen verschlüsselte E-Mails, die von einem Angreifer entschlüsselt werden können, aktiv bei der Übertragung abgefangen oder von einem E-Mail Server gestohlen werden. Sie werden dann mittels „Direct Exfiltration“ oder „CBC/CFB Gadget“ manipuliert und an den eigentlichen Empfänger gesendet. Anstatt einen statischen Link mitzugeben, wird die verschlüsselte Nachricht im Link beziehungsweise Bild eingebettet. Wenn der Empfänger diese eingebettete Nachricht entschlüsselt und der Mail-Client den Inhalt nachladen will, wird die entschlüsselte Nachricht im Link an den Angreifer geschickt. Bei der
„Direct Exfiltration“ –Methode
handelt es sich um die einfachere Variante des Angriffs. Dabei wird die gesamte verschlüsselte Nachricht in den dynamischen Link verpackt, indem das Format der Mail komplett verändert wird. Der dynamische Link ist dabei nicht verschlüsselt.
SEPPmail – Kunden sind von diesem Problem via S/MIME oder PGP/MIME nicht betroffen, da derart manipulierte Nachrichten gar nicht erst entschlüsselt werden. Einzige Ausnahme: Bei der Verwendung der veralteten Methode „Inline PGP“ kann die Attacke zum Erfolg führen. Diese Technologie sollte deshalb nicht mehr verwendet werden. Die
„CBC/CFB Gadget“ – Methode
nutzt eine schon länger bekannte Design-Schwachstelle in den zur Verschlüsselung von Nachrichten verwendeten Technologien aus. Der Link – Teil wird dabei direkt in den verschlüsselten Daten versteckt. Damit ein Angreifer dazu in der Lage ist, muss er zumindest einen Teil der originalen E-Mail unverschlüsselt vorliegen haben. Da gewisse Teile der Nachricht statisch sind, ist dies nicht abwegig. Wenn die Mail nicht zusätzlich signiert ist, dann gibt es keine technische Möglichkeit, die Veränderung nachträglich zu erkennen. Auch hier gilt: Es wird eine Schwachstelle der Mail-Clients ausgenutzt, die aus anderen Gründen (Missbrauch durch Spammer) schon längst geschlossen sein müsste. Beide Angriffsmethoden können durch Deaktivierung des automatischen Nachladens von Links im Mail-Client problemlos abgewehrt werden.
Da es sich aber auch um ein generelles Problem in den Standards S/MIME und PGP/MIME handelt (unbemerktes Einfügen von Daten in eine verschlüsselte Mail), ist eine generelle Lösung – die auch bei falsch konfigurierten Mailclients nicht zum Erfolg führt – nicht ganz trivial. SEPPmail wird auch hier zeitnah ein Update veröffentlichen, welches das Problem entschärft. Prinzipiell müssen aber beide Standards angepasst werden, was natürlich eine gewisse Zeit beansprucht. Zusätzlich zum Deaktivieren des automatischen Nachladens empfehlen wir auch die Kommunikationspartner anzuweisen, Mails zusätzlich zu signieren und natürlich auch die eigenen Mails zu signieren.
Fazit:
Die SEPPmail – Deutschland GmbH und die SEPPmail AG schließen sich zum aktuellen Zeitpunkt der Einschätzung des BSI an (siehe https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/efail-schwachstellen_15052018.html). Demnach können die genannten E-Mail-Verschlüsselungsstandards weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert sind.
Es sollte von der Ver- und Entschlüsselung auf den Clients abgesehen werden und Mails außerhalb des Clients entschlüsselt werden. Diese Vorgehensweise empfiehlt SEPPmail schon seit rund 20 Jahren.
Diesbezüglich gab es schon deutlich gravierendere Sicherheitslücken als Efail bei der Verschlüsselung auf dem Client. Zum Beispiel hat der weit verbreitete Mail-Client Outlook die Aktivierung der Verschlüsselung unter gewissen Umständen schlicht ignoriert (siehe https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html). Dadurch wurden insbesondere auch Lösungen, die „höheren Schutz“ durch „interne Verschlüsselung“ anpreisen, komplett ausgehebelt.
Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf der Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von HTML-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Die Hersteller von E-Mail-Clients sind hier in erster Linie in der Pflicht und haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.
Um E-Mail-Verschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender aktive Inhalte im E-Mail-Client deaktivieren. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.