Anzeige
Erhielt eine gefälschte E-Mail: Sergey Brin
Erhielt eine gefälschte E-Mail: Sergey Brin (Bild: Carlo Allegri/Reuters)

Phishing Mathematiker entdeckt zu kurze Schlüssel bei Google

Google und auch andere große Unternehmen nutzen zu kurze DKIM-Schlüssel, entdeckte der Mathematiker Zach Harris. Er schickte eine E-Mail an die beiden Google-Gründer mit der Adresse des jeweils anderen als Absender.

Anzeige

Zach Harris erhielt eine E-Mail von Google mit einem Stellenangebot. Das war für ihn zwar nicht interessant, ihm fiel beim Prüfen der Header aber auf, dass Google einen recht kurzen DKIM-Schlüssel verwendet. Damit werden E-Mails signiert, um sicherzustellen, dass sie wirklich von der jeweiligen Domain stammen.

Da Googles Schlüssel aber nur 512 Bit lang war, habe Harris diesen leicht knacken und seinerseits damit E-Mails signieren können, berichtet Wired. Um auf das Problem aufmerksam zu machen, schickte er eine E-Mail an Google-Gründer Larry Page, gab als Absender die E-Mail-Adresse von Google-Gründer Sergey Brin an und umgekehrt.

Eine Antwort erhielt Harris zwar weder von Page noch von Brin, stellte aber fest, dass Google kurz darauf seine DKIM-Schlüssel austauschte. Diese haben nun eine Länge von 2.048 statt 512 Bit. Google bestätigte Wired die Änderung.

Allerdings ist Google nicht das einzige große Unternehmen, das zu kurze DKIM-Schlüssel verwendet, welche eigentlich mindestens 1.024 Bit lang sein sollten. Harris fand auch bei Paypal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com und HSBC zu kurze Schlüssel zwischen 348 und 768 Bit. Yahoo, eBay, Twitter und Amazon würden wie Google Schlüssel mit 512 Bit nutzen, Paypal, LinkedIn, US Bank und HSBC immerhin 768 Bit, so Harris zu Wired. Aber auch 768 Bit hält er für zu kurz, da sich die Schlüssel mit ausreichend Ressourcen knacken lassen.

Harris hatte die Unternehmen in den vergangenen Monaten informiert, viele haben daraufhin ihre Schlüssel angepasst. Demnächst will das CERT Coordination Center der Carnegie-Mellon-Universität ein entsprechendes Advisory veröffentlichen.


eye home zur Startseite
skchang 29. Okt 2012

Habe auch eine Anfrage von Google abgelehnt. Bin momentan glücklich in der Forschung...

e-noodle 26. Okt 2012

Never attribute to malice that which is adequately explained by stupidity. - Robert J...

Endwickler 25. Okt 2012

Zum einen können sie durchaus selbst drauf gekommen sein ohne einen Handlungsbedarf zu...

baltasaronmeth 25. Okt 2012

rfc4871:

S-Talker 25. Okt 2012

Wenn ich eine Mail Erhalte von einer Person/einem Unternehmen erhalte, mit dem ich...

Kommentieren



Anzeige

  1. System- und Netzwerkadministrator (m/w)
    Brezelbäckerei Ditsch GmbH, Mainz
  2. Leiter Conceptual Engineering (m/w)
    ABUS Security-Center GmbH & Co. KG, Affing
  3. (Senior) Infrastructure Consultant (m/w)
    Infoman AG, Stuttgart
  4. (E)MSR- / PLT-Ingenieur (m/w) mit Schwerpunkt MSR-Planung
    Deutsche Shell Holding GmbH, Godorf/Wesseling

Detailsuche



Anzeige

Folgen Sie uns
       

  1. Ratsch

    Google beantragt Patent auf zerreißbare Displays

  2. DNS:NET

    "Nicht jeder Kabelverzweiger bekommt Glasfaser von Telekom"

  3. Wileyfox Swift

    Cyanogen-OS-Smartphone für 140 Euro

  4. Liquid Jade Primo

    Acers Windows-10-Smartphone mit Continuum ist erschienen

  5. Bundeskriminalamt

    Geldfälscher sind zunehmend über das Netz aktiv

  6. Peter Sunde

    Flattr kooperiert für Bezahlmodell mit Adblock Plus

  7. Qantas

    Explosives WLAN verzögert Flug für mehrere Stunden

  8. KDE

    Plasma Mobile bekommt Cyanogenmod-Basis

  9. Neural Processing Engine

    Qualcomm bringt Deep-Learning-SDK für Snapdragon 820

  10. Kindle Oasis im Test

    Amazons E-Book-Reader ist ein echtes Mager-Modell



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Das Flüstern der Alten Götter im Test: Düstere Evolution
Das Flüstern der Alten Götter im Test
Düstere Evolution
  1. E-Sports ESL schließt Team Youporn aus
  2. Blizzard Hearthstone-Cheat-Tools verteilen Malware

PGP im Parlament: Warum mein Abgeordneter keine PGP-Mail öffnen kann
PGP im Parlament
Warum mein Abgeordneter keine PGP-Mail öffnen kann

Nordrhein-Westfalen: Deutsche Telekom beginnt mit Micro-Trenching für Glasfaser
Nordrhein-Westfalen
Deutsche Telekom beginnt mit Micro-Trenching für Glasfaser
  1. Glasfaser Swisscom erreicht 1,1 Millionen Haushalte mit FTTH
  2. FTTH Deutsche Glasfaser will schnell eine Million anschließen
  3. M-net Glasfaser für 70 Prozent der Münchner Haushalte

  1. Re: Jaja, die Dummheit der Menschheit

    Michael H. | 16:20

  2. Warum einfach, wenn's auch kompliziert geht...

    Lala Satalin... | 16:20

  3. Re: Terroristen und Namen

    Bouncy | 16:19

  4. Re: Lokalisierung: WLAN-Stärke messen

    Desertdelphin | 16:17

  5. Re: Heißt für die Hardware dann zwei Dinge

    Spiritogre | 16:15


  1. 16:12

  2. 15:06

  3. 14:46

  4. 14:42

  5. 14:31

  6. 14:28

  7. 13:46

  8. 12:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel