Erhielt eine gefälschte E-Mail: Sergey Brin
Erhielt eine gefälschte E-Mail: Sergey Brin (Bild: Carlo Allegri/Reuters)

Phishing Mathematiker entdeckt zu kurze Schlüssel bei Google

Google und auch andere große Unternehmen nutzen zu kurze DKIM-Schlüssel, entdeckte der Mathematiker Zach Harris. Er schickte eine E-Mail an die beiden Google-Gründer mit der Adresse des jeweils anderen als Absender.

Anzeige

Zach Harris erhielt eine E-Mail von Google mit einem Stellenangebot. Das war für ihn zwar nicht interessant, ihm fiel beim Prüfen der Header aber auf, dass Google einen recht kurzen DKIM-Schlüssel verwendet. Damit werden E-Mails signiert, um sicherzustellen, dass sie wirklich von der jeweiligen Domain stammen.

Da Googles Schlüssel aber nur 512 Bit lang war, habe Harris diesen leicht knacken und seinerseits damit E-Mails signieren können, berichtet Wired. Um auf das Problem aufmerksam zu machen, schickte er eine E-Mail an Google-Gründer Larry Page, gab als Absender die E-Mail-Adresse von Google-Gründer Sergey Brin an und umgekehrt.

Eine Antwort erhielt Harris zwar weder von Page noch von Brin, stellte aber fest, dass Google kurz darauf seine DKIM-Schlüssel austauschte. Diese haben nun eine Länge von 2.048 statt 512 Bit. Google bestätigte Wired die Änderung.

Allerdings ist Google nicht das einzige große Unternehmen, das zu kurze DKIM-Schlüssel verwendet, welche eigentlich mindestens 1.024 Bit lang sein sollten. Harris fand auch bei Paypal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com und HSBC zu kurze Schlüssel zwischen 348 und 768 Bit. Yahoo, eBay, Twitter und Amazon würden wie Google Schlüssel mit 512 Bit nutzen, Paypal, LinkedIn, US Bank und HSBC immerhin 768 Bit, so Harris zu Wired. Aber auch 768 Bit hält er für zu kurz, da sich die Schlüssel mit ausreichend Ressourcen knacken lassen.

Harris hatte die Unternehmen in den vergangenen Monaten informiert, viele haben daraufhin ihre Schlüssel angepasst. Demnächst will das CERT Coordination Center der Carnegie-Mellon-Universität ein entsprechendes Advisory veröffentlichen.


skchang 29. Okt 2012

Habe auch eine Anfrage von Google abgelehnt. Bin momentan glücklich in der Forschung...

e-noodle 26. Okt 2012

Never attribute to malice that which is adequately explained by stupidity. - Robert J...

Endwickler 25. Okt 2012

Zum einen können sie durchaus selbst drauf gekommen sein ohne einen Handlungsbedarf zu...

baltasaronmeth 25. Okt 2012

rfc4871:

S-Talker 25. Okt 2012

Wenn ich eine Mail Erhalte von einer Person/einem Unternehmen erhalte, mit dem ich...

Kommentieren



Anzeige

  1. PDM Consultant (m/w)
    Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Mitarbeiter Support / User Helpdesk (m/w)
    meinestadt.de, Köln
  3. Elektronikerin / Elektroniker für die Qualitätssicherung
    VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden
  4. Mit­arbei­ter (m/w) Kunden­service mit den Schwer­punkten Bei­träge (BauGB, KAG) und Fried­hofs­verwal­tung
    AKDB, Landshut

 

Detailsuche


Top-Angebote
  1. TIPP: Xbox One Wired Controller für Windows
    43,99€
  2. TIPP: Speedlink Ledos Core Gaming-Maus gratis bei Kauf eines ausgewählten Speedlink-Headsets
    (z. B. Speedlink Medusa XE + Ledos Core zusammen für nur 39,99€ anstatt 61,68€)
  3. NUR NOCH HEUTE: Blu-ray 2-er-Sets reduziert
    (u. a. Kindsköpfe 1+2, Die Schlümpfe 1+2, 2 Guns + Der Knochenjäger)

 

Weitere Angebote


Folgen Sie uns
       

  1. Nachruf

    Dif-tor heh smusma, Mr. Spock!

  2. Click

    Beliebige Uhrenarmbänder an der Apple Watch nutzen

  3. VLC-Player 2.2.0

    Rotation, Addons-Verwaltung und digitale Kinofilme

  4. Stellenangebote

    Apple sucht nach Mitarbeitern für VR-Hardware

  5. Snapcash

    Bezahlte Sexdienste entstehen bei Snapchat

  6. Robear

    Bärenroboter trägt Kranke

  7. Mobiles Internet

    Nvidia analysiert 4G-Daten bereits im Funkmast

  8. Spionagesoftware

    OECD rügt Gamma wegen Finfisher

  9. MWC 2015

    Ericsson zeigt 5G-Testsystem

  10. Hostingdienst Blogger

    Google entfernt doch keine sexuellen Inhalte



Haben wir etwas übersehen?

E-Mail an news@golem.de



SLED 12 im Test: Die Sinnhaftigkeit eines kostenpflichtigen Linux-Desktops
SLED 12 im Test
Die Sinnhaftigkeit eines kostenpflichtigen Linux-Desktops
  1. Linux-Jahresrückblick 2014 Umbauarbeiten, Gezanke und Container

Test Samsung NX1: Profikamera oder nicht - Samsung muss noch viel lernen
Test Samsung NX1
Profikamera oder nicht - Samsung muss noch viel lernen
  1. Freihändige 40-Megapixel-Fotos Olympus verändert Kameramarkt mit Zittersensor
  2. EOS M3 Neue Systemkamera mit deutlich schnellerem Autofokus
  3. Micro-Four-Thirds-Sensor Olympus Air ist eine Smartphonekamera zum Anklemmen

Netzwerk: Telekom baut Vectoring parallel zu Glasfaser der Stadtwerke
Netzwerk
Telekom baut Vectoring parallel zu Glasfaser der Stadtwerke
  1. Deutsche Telekom Jede Woche Smartphones zum Schnäppchenpreis
  2. Kündigungsdrohung Telekom verliert Kunden bei All-IP-Zwangsumstellung
  3. Glasfaser Telekom baut ihr Netz parallel zu Stadtwerken aus

  1. Re: Man sollte nochmal darauf Hinweisen, woran er...

    Keridalspidialose | 07:50

  2. Re: Danke an einen Helden meiner Kindheit

    MarioWario | 07:44

  3. Unheimlich

    hungkubwa | 07:43

  4. Re: Das ist alles??

    Keridalspidialose | 07:42

  5. hochentwickelte Systeme zur Missbrauchs erkennung...

    Salzbretzel | 07:16


  1. 19:46

  2. 18:56

  3. 18:43

  4. 18:42

  5. 18:15

  6. 17:59

  7. 16:57

  8. 16:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel