Phishing Mathematiker entdeckt zu kurze Schlüssel bei Google

Google und auch andere große Unternehmen nutzen zu kurze DKIM-Schlüssel, entdeckte der Mathematiker Zach Harris. Er schickte eine E-Mail an die beiden Google-Gründer mit der Adresse des jeweils anderen als Absender.

Anzeige

Zach Harris erhielt eine E-Mail von Google mit einem Stellenangebot. Das war für ihn zwar nicht interessant, ihm fiel beim Prüfen der Header aber auf, dass Google einen recht kurzen DKIM-Schlüssel verwendet. Damit werden E-Mails signiert, um sicherzustellen, dass sie wirklich von der jeweiligen Domain stammen.

Da Googles Schlüssel aber nur 512 Bit lang war, habe Harris diesen leicht knacken und seinerseits damit E-Mails signieren können, berichtet Wired. Um auf das Problem aufmerksam zu machen, schickte er eine E-Mail an Google-Gründer Larry Page, gab als Absender die E-Mail-Adresse von Google-Gründer Sergey Brin an und umgekehrt.

Eine Antwort erhielt Harris zwar weder von Page noch von Brin, stellte aber fest, dass Google kurz darauf seine DKIM-Schlüssel austauschte. Diese haben nun eine Länge von 2.048 statt 512 Bit. Google bestätigte Wired die Änderung.

Allerdings ist Google nicht das einzige große Unternehmen, das zu kurze DKIM-Schlüssel verwendet, welche eigentlich mindestens 1.024 Bit lang sein sollten. Harris fand auch bei Paypal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com und HSBC zu kurze Schlüssel zwischen 348 und 768 Bit. Yahoo, eBay, Twitter und Amazon würden wie Google Schlüssel mit 512 Bit nutzen, Paypal, LinkedIn, US Bank und HSBC immerhin 768 Bit, so Harris zu Wired. Aber auch 768 Bit hält er für zu kurz, da sich die Schlüssel mit ausreichend Ressourcen knacken lassen.

Harris hatte die Unternehmen in den vergangenen Monaten informiert, viele haben daraufhin ihre Schlüssel angepasst. Demnächst will das CERT Coordination Center der Carnegie-Mellon-Universität ein entsprechendes Advisory veröffentlichen.


skchang 29. Okt 2012

Habe auch eine Anfrage von Google abgelehnt. Bin momentan glücklich in der Forschung...

e-noodle 26. Okt 2012

Never attribute to malice that which is adequately explained by stupidity. - Robert J...

Endwickler 25. Okt 2012

Zum einen können sie durchaus selbst drauf gekommen sein ohne einen Handlungsbedarf zu...

baltasaronmeth 25. Okt 2012

rfc4871:

S-Talker 25. Okt 2012

Wenn ich eine Mail Erhalte von einer Person/einem Unternehmen erhalte, mit dem ich...

Kommentieren



Anzeige

  1. IT-Programmmanager/-in für komplexe Softwareeinführungsprojekte
    Dataport, Hamburg
  2. IT-Projektleiter/in
    Landeshauptstadt München, München
  3. Business Intelligence Analyst Logistik (m/w)
    Home Shopping Europe GmbH, Ismaning (Raum München)
  4. Senior System Architect (m/w)
    PAYBACK GmbH, Munich

 

Detailsuche


Folgen Sie uns
       

  1. First-Person-Walker

    Wie viel Gameplay braucht ein Spiel?

  2. Finanzierungsrunde

    Startup Airbnb ist zehn Milliarden US-Dollar wert

  3. Spähaffäre

    Snowden erklärt seine Frage an Putin

  4. CSA-Verträge

    Microsoft senkt Preise für Support von Windows XP

  5. Test Wyse Cloud Connect

    Dells mobiles Büro

  6. Globalfoundries-Kooperation mit Samsung

    AMDs Konsolengeschäft kompensiert schwache CPU-Sparte

  7. Verband

    "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"

  8. Kabel Deutschland

    2.000 Haushalte zwei Tage von Kabelschaden betroffen

  9. Cridex-Trojaner

    Hamburger Senat bestätigt großen Schaden durch Malware

  10. Ubuntu 14.04 LTS im Test

    Canonical in der Konvergenz-Falle



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


Cortana im Test: Gebt Windows Phone eine Stimme
Cortana im Test
Gebt Windows Phone eine Stimme

Mit Windows Phone 8.1 bringt Microsoft nicht nur lange vermisste Funktionen wie die zentrale Benachrichtigungsübersicht auf das Smartphone, sondern auch die Sprachassistentin Cortana. Diese kann den Alltag tatsächlich erleichtern - und singen.

  1. Smartphones Nokia und HTC planen Updates auf Windows Phone 8.1
  2. Ativ SE Samsungs neues Smartphone mit Windows Phone
  3. Microsoft Internet Explorer 11 für Windows Phone

Wolfenstein The New Order: "Als Ein-Mann-Armee gegen eine Übermacht"
Wolfenstein The New Order
"Als Ein-Mann-Armee gegen eine Übermacht"

B. J. Blazkowicz muss demnächst wieder die Welt retten - in einem Wolfenstein aus Schweden. Im Interview hat Golem.de mit Andreas Öjerfors, dem Senior Gameplay Designer, über verbotene Inhalte, die KI und Filmvorbilder von The New Order gesprochen.

  1. The New Order Wolfenstein erscheint ohne inhaltliche Schnitte
  2. Wolfenstein angespielt Agent Blazkowicz in historischer Mission
  3. Bethesda Zugang zur Doom-Beta führt über Wolfenstein

    •  / 
    Zum Artikel