Abo
  • Services:
Anzeige
Erhielt eine gefälschte E-Mail: Sergey Brin
Erhielt eine gefälschte E-Mail: Sergey Brin (Bild: Carlo Allegri/Reuters)

Phishing: Mathematiker entdeckt zu kurze Schlüssel bei Google

Erhielt eine gefälschte E-Mail: Sergey Brin
Erhielt eine gefälschte E-Mail: Sergey Brin (Bild: Carlo Allegri/Reuters)

Google und auch andere große Unternehmen nutzen zu kurze DKIM-Schlüssel, entdeckte der Mathematiker Zach Harris. Er schickte eine E-Mail an die beiden Google-Gründer mit der Adresse des jeweils anderen als Absender.

Zach Harris erhielt eine E-Mail von Google mit einem Stellenangebot. Das war für ihn zwar nicht interessant, ihm fiel beim Prüfen der Header aber auf, dass Google einen recht kurzen DKIM-Schlüssel verwendet. Damit werden E-Mails signiert, um sicherzustellen, dass sie wirklich von der jeweiligen Domain stammen.

Anzeige

Da Googles Schlüssel aber nur 512 Bit lang war, habe Harris diesen leicht knacken und seinerseits damit E-Mails signieren können, berichtet Wired. Um auf das Problem aufmerksam zu machen, schickte er eine E-Mail an Google-Gründer Larry Page, gab als Absender die E-Mail-Adresse von Google-Gründer Sergey Brin an und umgekehrt.

Eine Antwort erhielt Harris zwar weder von Page noch von Brin, stellte aber fest, dass Google kurz darauf seine DKIM-Schlüssel austauschte. Diese haben nun eine Länge von 2.048 statt 512 Bit. Google bestätigte Wired die Änderung.

Allerdings ist Google nicht das einzige große Unternehmen, das zu kurze DKIM-Schlüssel verwendet, welche eigentlich mindestens 1.024 Bit lang sein sollten. Harris fand auch bei Paypal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com und HSBC zu kurze Schlüssel zwischen 348 und 768 Bit. Yahoo, eBay, Twitter und Amazon würden wie Google Schlüssel mit 512 Bit nutzen, Paypal, LinkedIn, US Bank und HSBC immerhin 768 Bit, so Harris zu Wired. Aber auch 768 Bit hält er für zu kurz, da sich die Schlüssel mit ausreichend Ressourcen knacken lassen.

Harris hatte die Unternehmen in den vergangenen Monaten informiert, viele haben daraufhin ihre Schlüssel angepasst. Demnächst will das CERT Coordination Center der Carnegie-Mellon-Universität ein entsprechendes Advisory veröffentlichen.


eye home zur Startseite
skchang 29. Okt 2012

Habe auch eine Anfrage von Google abgelehnt. Bin momentan glücklich in der Forschung...

e-noodle 26. Okt 2012

Never attribute to malice that which is adequately explained by stupidity. - Robert J...

Endwickler 25. Okt 2012

Zum einen können sie durchaus selbst drauf gekommen sein ohne einen Handlungsbedarf zu...

baltasaronmeth 25. Okt 2012

rfc4871:

S-Talker 25. Okt 2012

Wenn ich eine Mail Erhalte von einer Person/einem Unternehmen erhalte, mit dem ich...



Anzeige

Stellenmarkt
  1. IT-Dienstleistungszentrum Berlin, Berlin
  2. Teledyne LeCroy GmbH, Heidelberg
  3. b.i.t.s. GmbH über Schörghuber Stiftung & Co. Holding KG, München
  4. T-Systems International GmbH, verschiedene Standorte


Anzeige
Blu-ray-Angebote
  1. 36,99€ (Vorbesteller-Preisgarantie)
  2. 139,99€ (Vorbesteller-Preisgarantie)
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Bitdefender
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Mehr dazu im aktuellen Whitepaper von Freudenberg IT

  1. Nach Missbrauchsvorwürfen

    Die große Abrechnung mit Jacob Appelbaum

  2. VR-Headset

    Fove Inc verpasst dem Fove ein neues Aussehen

  3. John Legere

    T-Mobile sieht eigenes Mobilfunknetz von Google und Facebook

  4. Objektiv

    Lichtstarkes Nikon 105 mm 1,4E ED für Porträts

  5. Adobe muss nachbessern

    Photoshop druckt falsche Farben

  6. Urban eTruck

    Mercedes stellt elektrischen Lkw mit 200 km Reichweite vor

  7. Keysniffer

    Millionen kabellose Tastaturen senden Daten im Klartext

  8. Here WeGo

    Here Maps kommt mit neuem Namen und neuen Funktionen

  9. Mesuit

    Chinesischer Hersteller bietet Android-Hülle für iPhones an

  10. Pokémon Go

    Pikachu versus Bundeswehr



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Huawei Matebook im Test: Guter Laptop-Ersatz mit zu starker Konkurrenz
Huawei Matebook im Test
Guter Laptop-Ersatz mit zu starker Konkurrenz
  1. Netze Huawei steigert Umsatz stark
  2. Huawei Österreich führt Hybridtechnik ein
  3. Huawei Deutsche Telekom testet LTE-V auf der A9

Nuki Smart Lock im Test: Ausgesperrt statt aufgesperrt
Nuki Smart Lock im Test
Ausgesperrt statt aufgesperrt

Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Xiaomi Hugo Barra verkündet Premium-Smartphone
  2. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro
  3. Mi Band 2 Xiaomis neues Fitness-Armband mit Pulsmesser kostet 20 Euro

  1. Re: Pikachu meets Hell March

    Missingno. | 10:29

  2. Re: parallele gerichtsbarkeit?

    PiranhA | 10:28

  3. Re: Es gibt IMHO schon lange andere...

    Keridalspidialose | 10:28

  4. Re: Typische LKW-Optik

    |=H | 10:28

  5. Re: Aus welchem Jahr stammt der Akku?

    oxybenzol | 10:27


  1. 10:07

  2. 10:00

  3. 09:50

  4. 07:41

  5. 07:28

  6. 07:17

  7. 19:16

  8. 17:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel