Erhielt eine gefälschte E-Mail: Sergey Brin
Erhielt eine gefälschte E-Mail: Sergey Brin (Bild: Carlo Allegri/Reuters)

Phishing Mathematiker entdeckt zu kurze Schlüssel bei Google

Google und auch andere große Unternehmen nutzen zu kurze DKIM-Schlüssel, entdeckte der Mathematiker Zach Harris. Er schickte eine E-Mail an die beiden Google-Gründer mit der Adresse des jeweils anderen als Absender.

Anzeige

Zach Harris erhielt eine E-Mail von Google mit einem Stellenangebot. Das war für ihn zwar nicht interessant, ihm fiel beim Prüfen der Header aber auf, dass Google einen recht kurzen DKIM-Schlüssel verwendet. Damit werden E-Mails signiert, um sicherzustellen, dass sie wirklich von der jeweiligen Domain stammen.

Da Googles Schlüssel aber nur 512 Bit lang war, habe Harris diesen leicht knacken und seinerseits damit E-Mails signieren können, berichtet Wired. Um auf das Problem aufmerksam zu machen, schickte er eine E-Mail an Google-Gründer Larry Page, gab als Absender die E-Mail-Adresse von Google-Gründer Sergey Brin an und umgekehrt.

Eine Antwort erhielt Harris zwar weder von Page noch von Brin, stellte aber fest, dass Google kurz darauf seine DKIM-Schlüssel austauschte. Diese haben nun eine Länge von 2.048 statt 512 Bit. Google bestätigte Wired die Änderung.

Allerdings ist Google nicht das einzige große Unternehmen, das zu kurze DKIM-Schlüssel verwendet, welche eigentlich mindestens 1.024 Bit lang sein sollten. Harris fand auch bei Paypal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com und HSBC zu kurze Schlüssel zwischen 348 und 768 Bit. Yahoo, eBay, Twitter und Amazon würden wie Google Schlüssel mit 512 Bit nutzen, Paypal, LinkedIn, US Bank und HSBC immerhin 768 Bit, so Harris zu Wired. Aber auch 768 Bit hält er für zu kurz, da sich die Schlüssel mit ausreichend Ressourcen knacken lassen.

Harris hatte die Unternehmen in den vergangenen Monaten informiert, viele haben daraufhin ihre Schlüssel angepasst. Demnächst will das CERT Coordination Center der Carnegie-Mellon-Universität ein entsprechendes Advisory veröffentlichen.


skchang 29. Okt 2012

Habe auch eine Anfrage von Google abgelehnt. Bin momentan glücklich in der Forschung...

e-noodle 26. Okt 2012

Never attribute to malice that which is adequately explained by stupidity. - Robert J...

Endwickler 25. Okt 2012

Zum einen können sie durchaus selbst drauf gekommen sein ohne einen Handlungsbedarf zu...

baltasaronmeth 25. Okt 2012

rfc4871:

S-Talker 25. Okt 2012

Wenn ich eine Mail Erhalte von einer Person/einem Unternehmen erhalte, mit dem ich...

Kommentieren



Anzeige

  1. App-Entwickler (m/w)
    Jobframe GmbH, Mainz
  2. Projektverantwortlicher (m/w) Diagnose / Service-Funktionen von Lokomotiven
    Siemens AG, Erlangen
  3. Architect Cloud Platform / IaaS (m/w)
    Microsoft Deutschland GmbH, verschiedene Standorte
  4. PreSales Storage Consultant Service Provider (m/w)
    NetApp Deutschland GmbH, München, Stuttgart oder Hamburg

 

Detailsuche


Spiele-Angebote
  1. Vorbestell-Aktion: Batman: Arkham Knight
    Vorbesteller erhalten gratis einen Bonus-Code für die Harley Quinn Challenge-Maps
  2. Games-Downloads: Angebote der Woche
  3. GTA V [PC Download]
    53,99€ (Vorbesteller-Preisgarantie) USK 18 - Release 14.04.

 

Weitere Angebote


Folgen Sie uns
       

  1. Schwachstellen

    Über Rsync in das Hotelnetzwerk einbrechen

  2. Kickstarter

    VR-Brille Impression Pi soll Gesten erkennen

  3. Operation Eikonal

    G10-Kommission fühlt sich von BND düpiert

  4. HyperX-Serie

    Kingstons Predator ist die vorerst schnellste Consumer-SSD

  5. Forschung

    Virtuelle Nase soll gegen Simulatorkrankheit helfen

  6. 3D-NAND

    Intels Flash-Chips verdreifachen den SSD-Speicherplatz

  7. NSA-Ausschuss

    DE-CIX erhebt schwere Vorwürfe wegen BND-Abhörung

  8. Mars

    Curiosity findet biologisch verwertbaren Stickstoff

  9. Benchmark

    Neue 3DMark-Szene testet API-Overhead

  10. Verschlüsselung

    RC4 erneut unter Beschuss



Haben wir etwas übersehen?

E-Mail an news@golem.de



Openstack: Viele brauchen es, keiner versteht es - wir erklären es
Openstack
Viele brauchen es, keiner versteht es - wir erklären es
  1. Cebit 2015 Das Open Source Forum debattiert über Limux

Raspberry Pi 2: Die Feierabend-Maschine
Raspberry Pi 2
Die Feierabend-Maschine
  1. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster
  2. Raspberry Pi 2 Fotografieren nur ohne Blitz
  3. Internet der Dinge Windows 10 läuft kostenlos auf dem Raspberry Pi 2

Jugendliche und soziale Netzwerke: Geh sterben, Facebook!
Jugendliche und soziale Netzwerke
Geh sterben, Facebook!
  1. 360-Grad-Videos und neuer Messenger Facebook zeigt seinen Nutzern Rundumvideos
  2. Urheberrecht Bild-Fotograf zieht Abmahnung zum Facebook-Button zurück
  3. Urheberrecht Abmahnung wegen Nutzung des Facebook-Buttons bei Bild.de

  1. Re: Danke Rotgrün!

    attitudinized | 07:56

  2. Re: Irgendwann werden die Menschen

    Alashazz | 07:53

  3. Re: Weit verbreitet

    elgooG | 07:52

  4. eiskalt

    ChristianGünther | 07:51

  5. Re: schockiert nicht wirklich ...

    foo bar | 07:49


  1. 07:57

  2. 07:43

  3. 07:31

  4. 03:08

  5. 20:06

  6. 18:58

  7. 18:54

  8. 18:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel