Erhielt eine gefälschte E-Mail: Sergey Brin
Erhielt eine gefälschte E-Mail: Sergey Brin (Bild: Carlo Allegri/Reuters)

Phishing Mathematiker entdeckt zu kurze Schlüssel bei Google

Google und auch andere große Unternehmen nutzen zu kurze DKIM-Schlüssel, entdeckte der Mathematiker Zach Harris. Er schickte eine E-Mail an die beiden Google-Gründer mit der Adresse des jeweils anderen als Absender.

Anzeige

Zach Harris erhielt eine E-Mail von Google mit einem Stellenangebot. Das war für ihn zwar nicht interessant, ihm fiel beim Prüfen der Header aber auf, dass Google einen recht kurzen DKIM-Schlüssel verwendet. Damit werden E-Mails signiert, um sicherzustellen, dass sie wirklich von der jeweiligen Domain stammen.

Da Googles Schlüssel aber nur 512 Bit lang war, habe Harris diesen leicht knacken und seinerseits damit E-Mails signieren können, berichtet Wired. Um auf das Problem aufmerksam zu machen, schickte er eine E-Mail an Google-Gründer Larry Page, gab als Absender die E-Mail-Adresse von Google-Gründer Sergey Brin an und umgekehrt.

Eine Antwort erhielt Harris zwar weder von Page noch von Brin, stellte aber fest, dass Google kurz darauf seine DKIM-Schlüssel austauschte. Diese haben nun eine Länge von 2.048 statt 512 Bit. Google bestätigte Wired die Änderung.

Allerdings ist Google nicht das einzige große Unternehmen, das zu kurze DKIM-Schlüssel verwendet, welche eigentlich mindestens 1.024 Bit lang sein sollten. Harris fand auch bei Paypal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com und HSBC zu kurze Schlüssel zwischen 348 und 768 Bit. Yahoo, eBay, Twitter und Amazon würden wie Google Schlüssel mit 512 Bit nutzen, Paypal, LinkedIn, US Bank und HSBC immerhin 768 Bit, so Harris zu Wired. Aber auch 768 Bit hält er für zu kurz, da sich die Schlüssel mit ausreichend Ressourcen knacken lassen.

Harris hatte die Unternehmen in den vergangenen Monaten informiert, viele haben daraufhin ihre Schlüssel angepasst. Demnächst will das CERT Coordination Center der Carnegie-Mellon-Universität ein entsprechendes Advisory veröffentlichen.


skchang 29. Okt 2012

Habe auch eine Anfrage von Google abgelehnt. Bin momentan glücklich in der Forschung...

e-noodle 26. Okt 2012

Never attribute to malice that which is adequately explained by stupidity. - Robert J...

Endwickler 25. Okt 2012

Zum einen können sie durchaus selbst drauf gekommen sein ohne einen Handlungsbedarf zu...

baltasaronmeth 25. Okt 2012

rfc4871:

S-Talker 25. Okt 2012

Wenn ich eine Mail Erhalte von einer Person/einem Unternehmen erhalte, mit dem ich...

Kommentieren



Anzeige

  1. SAP-Entwickler (m/w) für ABAP & Process Integration
    Star Cooperation GmbH, Großraum Stuttgart
  2. Geoinformatiker/-in im Fachbereich "Strahlenschutz und Umwelt"
    Bundesamt für Strahlenschutz, Salzgitter
  3. SPS-Programmierer (m/w)
    Ampack GmbH, Königsbrunn
  4. Tester in der Softwareentwicklung (m/w)
    Daimler AG, Stuttgart

 

Detailsuche


Spiele-Angebote
  1. NEU: Driver: San Francisco Deluxe Edition
    11,99€
  2. World of Warcraft: Warlords of Draenor
    26,99€ statt 41,99€
  3. NEU: Risen 2: Dark Waters [Download]
    9,99€

 

Weitere Angebote


Folgen Sie uns
       

  1. Windows 10

    RTM-Version für diese Woche geplant

  2. Hero 4 Session ausprobiert

    Gopros neuer Zauberwürfel

  3. Protest

    WLAN-Störerhaftung soll gegen EU-Recht verstoßen

  4. Mojang

    Spezielle Version von Minecraft für Windows 10

  5. Android 5.0

    Kein Lollipop für das Galaxy Note 2

  6. Deltatronic Silentium X99 im Test

    Und er brennt doch nicht durch

  7. Ekso Works Industrial Exoskeleton

    Passives Exoskelett unterstützt Arbeiter

  8. Nintendo Sony

    Historischer Prototyp der Playstation aufgetaucht

  9. 20 Jahre

    Amazon kündigt Sonderangebote nur für Prime-Mitglieder an

  10. Spionagesoftware

    Hacking Team von Unbekannten gehackt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Berliner Datenschutzbeauftragter: Jemand muss den Datenschutz sexy machen!
Berliner Datenschutzbeauftragter
Jemand muss den Datenschutz sexy machen!
  1. E-Gesundheitskarte Mangelnde Personenüberprüfung gefährdet Patientendaten
  2. EU-Ministerrat Showdown für Europas Datenschutz
  3. Umfrage E-Personalausweis im Internet kaum genutzt

Pebble Time im Test: Nicht besonders smart, aber watch
Pebble Time im Test
Nicht besonders smart, aber watch
  1. Smartwatch Pebble Time kostet außerhalb von Kickstarter 250 Euro
  2. Smartwatch Apple gibt iOS-App für die Pebble Time frei
  3. Smartwatch Pebbles iOS-App wird von Apple nicht freigegeben

Batman Arkham Knight im Test: Es ist kompliziert ...
Batman Arkham Knight im Test
Es ist kompliziert ...
  1. Arkham Knight Erster PC-Patch für Batman
  2. Technische Probleme Batman Arkham Knight nicht mehr auf Steam erhältlich

  1. Re: Sie versuchen es...

    Clown | 15:32

  2. Re: baut erstmal ein Netz dazu aus

    Berner Rösti | 15:31

  3. Re: Wie peilt man die Drohne an?

    Sharra | 15:29

  4. Haftet das Strassenbauunternehmen eigentlich für...

    sedremier | 15:29

  5. Re: Wäre bestimmt geil geworden ...

    violator | 15:29


  1. 15:11

  2. 15:00

  3. 13:19

  4. 12:34

  5. 12:24

  6. 12:02

  7. 12:01

  8. 11:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel