Erhielt eine gefälschte E-Mail: Sergey Brin
Erhielt eine gefälschte E-Mail: Sergey Brin (Bild: Carlo Allegri/Reuters)

Phishing Mathematiker entdeckt zu kurze Schlüssel bei Google

Google und auch andere große Unternehmen nutzen zu kurze DKIM-Schlüssel, entdeckte der Mathematiker Zach Harris. Er schickte eine E-Mail an die beiden Google-Gründer mit der Adresse des jeweils anderen als Absender.

Anzeige

Zach Harris erhielt eine E-Mail von Google mit einem Stellenangebot. Das war für ihn zwar nicht interessant, ihm fiel beim Prüfen der Header aber auf, dass Google einen recht kurzen DKIM-Schlüssel verwendet. Damit werden E-Mails signiert, um sicherzustellen, dass sie wirklich von der jeweiligen Domain stammen.

Da Googles Schlüssel aber nur 512 Bit lang war, habe Harris diesen leicht knacken und seinerseits damit E-Mails signieren können, berichtet Wired. Um auf das Problem aufmerksam zu machen, schickte er eine E-Mail an Google-Gründer Larry Page, gab als Absender die E-Mail-Adresse von Google-Gründer Sergey Brin an und umgekehrt.

Eine Antwort erhielt Harris zwar weder von Page noch von Brin, stellte aber fest, dass Google kurz darauf seine DKIM-Schlüssel austauschte. Diese haben nun eine Länge von 2.048 statt 512 Bit. Google bestätigte Wired die Änderung.

Allerdings ist Google nicht das einzige große Unternehmen, das zu kurze DKIM-Schlüssel verwendet, welche eigentlich mindestens 1.024 Bit lang sein sollten. Harris fand auch bei Paypal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com und HSBC zu kurze Schlüssel zwischen 348 und 768 Bit. Yahoo, eBay, Twitter und Amazon würden wie Google Schlüssel mit 512 Bit nutzen, Paypal, LinkedIn, US Bank und HSBC immerhin 768 Bit, so Harris zu Wired. Aber auch 768 Bit hält er für zu kurz, da sich die Schlüssel mit ausreichend Ressourcen knacken lassen.

Harris hatte die Unternehmen in den vergangenen Monaten informiert, viele haben daraufhin ihre Schlüssel angepasst. Demnächst will das CERT Coordination Center der Carnegie-Mellon-Universität ein entsprechendes Advisory veröffentlichen.


skchang 29. Okt 2012

Habe auch eine Anfrage von Google abgelehnt. Bin momentan glücklich in der Forschung...

e-noodle 26. Okt 2012

Never attribute to malice that which is adequately explained by stupidity. - Robert J...

Endwickler 25. Okt 2012

Zum einen können sie durchaus selbst drauf gekommen sein ohne einen Handlungsbedarf zu...

baltasaronmeth 25. Okt 2012

rfc4871:

S-Talker 25. Okt 2012

Wenn ich eine Mail Erhalte von einer Person/einem Unternehmen erhalte, mit dem ich...

Kommentieren



Anzeige

  1. Projektmanager (m/w) Nachrichtentechnik im Bereich B2B Solutions
    Unitymedia GmbH, Kerpen, Stuttgart
  2. IT-Administrator (m/w)
    Wellemöbel GmbH, Bad Lippspringe
  3. Leiter HR Systeme & Prozesse (m/w)
    HARTMANN Gruppe über KÖNIGSTEINER AGENTUR, Heidenheim
  4. Fachexperte/in AUTOSAR und Teamleiter/in radar-basierte Fahrerassistenzsysteme
    Robert Bosch GmbH, Leonberg

 

Detailsuche


Blu-ray-Angebote
  1. NEU: 7 Tage Tiefpreise bei Amazon
    (u. a. Blu-rays: Der Hobbit: Die Schlacht der fünf Heere 11,11€, The Scorpion King 1-3 Box 9...
  2. Jurassic Park - Steelbook [Blu-ray] [Limited Edition]
    9,90€
  3. In Time/Runner Runner [Blu-ray]
    7,99€

 

Weitere Angebote


Folgen Sie uns
       

  1. Ortungsdienste

    Chrome-Erweiterung erstellt Bewegungsprofile bei Facebook

  2. Borderlands

    Dreimal so viele legendäre Gegenstände

  3. Security

    Zwei neue Exploits auf Router entdeckt

  4. 100 Euro für einen Schatz

    Bug zeigt In-App-Kosten im Windows 10 Store

  5. Digitalisierung

    Studie fordert Ende von Rundfunkbeiträgen und ARD/ZDF

  6. Aquos-Smartphones

    Sharp bietet Zeitlupe mit 2.100 Bildern pro Sekunde

  7. E-Sport

    The International legt los

  8. Digitaler Wandel

    "Haben Sie Google zerschlagen, kommt der nächste"

  9. Java-Rechtsstreit

    US-Justiz befürwortet Urheberrecht auf APIs

  10. Jonathan Riddell

    Führungsstreit zwischen Ubuntu und Kubuntu



Haben wir etwas übersehen?

E-Mail an news@golem.de



BND-Selektorenaffäre: Die stille Löschaktion des W. O.
BND-Selektorenaffäre
Die stille Löschaktion des W. O.
  1. BND-Metadatensuche "Die Nadel im Heuhaufen ist zerbrochen"
  2. Geheimhaltung IT-Experten wollen die NSA austricksen
  3. Telekom und BND angezeigt Es leakt sich was zusammen

Die Woche im Video: Pappe von Google, Fragen zur Überwachung und SSD im Test
Die Woche im Video
Pappe von Google, Fragen zur Überwachung und SSD im Test
  1. Die Woche im Video Tests, Tests, Tests
  2. Die Woche im Video Microsoft greift an, AMD kündigt an, BND-Affäre zieht an
  3. Die Woche im Video Microsofts Build, LGs neues Smartphone und viel Open Source

Angriff auf kritische Infrastrukturen: Bundestag, bitte melden!
Angriff auf kritische Infrastrukturen
Bundestag, bitte melden!
  1. Umfrage US-Bürger misstrauen Regierung beim Umgang mit Daten
  2. Spionage NSA wollte Android-App-Stores für Ausspähungen nutzen
  3. Stellenausschreibung Das GCHQ sucht White-Hat-Hacker

  1. Re: Ob und wie schnell das Gesetz kommt kann man...

    Rababer | 18:01

  2. Windows läuft übrigens extrem flüssig auf den...

    synoon | 18:01

  3. Re: Man zahlt IMMER eine Zwangsabgabe

    forenuser | 18:01

  4. Re: Kinder?

    sasee_bln | 18:00

  5. Re: Der freie Wille zählt in Deutschland nichts

    robinx999 | 18:00


  1. 17:24

  2. 17:14

  3. 17:06

  4. 16:55

  5. 16:01

  6. 15:50

  7. 15:44

  8. 15:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel