• IT-Karriere:
  • Services:

OpenPGP/GnuPG: Signaturen fälschen mit HTML und Bildern

PGP-Signaturen sollen gewährleisten, dass eine E-Mail tatsächlich vom korrekten Absender kommt. Mit einem simplen Trick kann man bei vielen Mailclients scheinbar signierte Nachrichten erstellen - indem man die entsprechende Anzeige mittels HTML fälscht.

Artikel von Hanno Böck veröffentlicht am
Unterschriften fälschen - das geht auch digital bei OpenPGP-Signaturen.
Unterschriften fälschen - das geht auch digital bei OpenPGP-Signaturen. (Bild: Dreamstime/CC0 1.0)

Neben der Verschlüsselung von Mails kann man mit dem OpenPGP-Standard und GnuPG E-Mails auch digital signieren. Damit soll gewährleistet werden, dass Mails vom korrekten Absender kommen und nicht gefälscht werden können. Doch zahlreiche Mailprogramme und Plugins weisen eine erstaunlich triviale Schwäche auf: Die Anzeige, dass eine Mail korrekt signiert ist, kann man fälschen, indem man etwa einfach ein passendes Bild in die Mail via HTML einfügt.

Stellenmarkt
  1. GK Software SE, Schöneck/Vogtland, St. Ingbert, Pilsen (Tschechische Republik)
  2. DATAGROUP Köln GmbH, München

In Enigmail, dem GnuPG-Plugin für Mozilla Thunderbird, wurde beispielsweise eine signierte Mail bisher durch einen farbigen Balken über der Mail angezeigt. Bei Absendern, deren PGP-Schlüsseln der Empfänger vertraut, ist die Anzeige grün und informiert über eine korrekte Signatur. Diesen Balken zu fälschen, ist trivial, so kann man beispielsweise einfach einen passenden Screenshot einer korrekt signierten Mail anfertigen und diesen als Bild in die Mail einbetten.

Enigmail-Fälschung mit kleinem Schönheitsfehler

Ganz perfekt ist die Fälschung bei Enigmail nicht: In den Headern der Mail wird ein Logo eines verschlossenen Briefumschlages angezeigt. Da sich dieses außerhalb der eigentlichen Mail befindet, hat der Absender hier keinen Einfluss auf die Anzeige. Doch der grüne Balken ist das deutlich auffälligere Signal, den wenigsten dürfte das Fehlen des Briefumschlag-Symbols auffallen.

Enigmail hat auf dieses Problem inzwischen reagiert: In der jüngsten Version 2.0.8 wird der Signaturbalken oberhalb der Mailheader angezeigt.

Kmail-Signatur lässt sich fast perfekt nachbilden

Eine nahezu perfekte Fälschung kann man für das KDE-Programm Kmail anfertigen. Dort wird eine signierte, vertrauenswürdige Mail durch einen grünen Rahmen angezeigt. Diesen kann man relativ simpel mit HTML nachbauen. Wenn man die Mail in einem eigenen Fenster öffnet, ist kein Unterschied mehr erkennbar. Nur in der Nachrichtenübersicht wird ein kleines, kaum sichtbares Symbol angezeigt, das auf die Signatur hinweist.

  • Links das Original, rechts die Fälschung in Enigmail und Thunderbird.
  • In der neuen Enigmail-Version wird die Signaturinfo über den Mailheadern angezeigt.
  • In Kmail gibt es keinen sichtbaren Unterschied zwischen Original und Fälschung.
  • In Evolution gibt es einige Schönheitsfehler, aber einem flüchtigen Blick hält die Fälschung trotzdem stand.
  • In Apple Mail kann man mehrere Betreffzeilen schicken und damit falsche Header einfügen.
  • In Mutt wird die Ausgabe von GnuPG direkt als Text angezeigt.
Links das Original, rechts die Fälschung in Enigmail und Thunderbird.

Eine entsprechend gefälschte Signatur im Gnome-Mailprogramm Evolution hat einige Schönheitsfehler. So gibt es einen Rahmen um die Mail herum, der bei einer echten Signatur die Signaturanzeige nicht mit erfasst. Trotzdem dürfte auch hier die Fälschung einer flüchtigen Prüfung standhalten.

Etwas anders sieht die Situation bei Apple Mail und dem zugehörigen Plugin GPGTools aus. Dort wird eine signierte Mail bei den Headern angezeigt. Auch hier gibt es eine Möglichkeit, den Empfänger zu verwirren. Im Betreff einer Mail lassen sich bei Apple Mail Zeilenumbrüche unterbringen. Alternativ kann man auch einfach mehrere Betreffzeilen in einer Mail unterbringen, diese werden dann von Apple Mail untereinander angezeigt.

Die Fälschung hier ist nicht komplett überzeugend: Normalerweise befindet sich der Security-Pseudoheader, der die Signatur anzeigt, unterhalb der Absenderzeile, das lässt sich jedoch bei der Fälschung nicht erreichen. Außerdem enthält die echte Signatur ein Symbol eines von einem Stern umrundeten Hakens. Ein solches Symbol ist nicht Teil des Unicode-Standards, lediglich ein ähnliches Symbol lässt sich anzeigen.

Die jüngste Version 2018.4 von GPGTools verhindert die Anzeige von mehreren Subject-Zeilen, doch das eigentliche Problem ist ein Bug in Apple Mail. Apple hat bisher auf unsere Meldung dazu nicht reagiert.

Mutt: Einfach die gewünschte Meldung von GnuPG mitschicken

In Mutt, einem Mailprogramm im Textmodus, wird die Textausgabe der GPG-Verifikation einfach als Teil der Mail angezeigt. Auch das lässt sich natürlich einfach fälschen, indem man eine entsprechende Ausgabe in der Mail mitschickt. Allerdings wird in der Statuszeile ebenfalls ein Hinweis auf die signierte Mail angezeigt.

Die Mutt-Entwickler teilten auf Anfrage mit, dass das Problem bekannt sei und es zahlreiche Optionen gebe, sich zu schützen. So lassen sich etwa signierte Mails farbig anzeigen, die Farbe lässt sich vom Absender nicht beeinflussen.

Generell zeigt dieser Angriff, dass man sich bisher offenbar wenig Gedanken über Sicherheitsindikatoren im E-Mail-Bereich gemacht hat. Ähnliche Angriffe gab es auch schon in anderen Bereichen, so war es etwa früher in Browsern möglich, Popups zu erstellen, die eine gefälschte Adresszeile zeigen. Doch inzwischen verhindern Browser das, da in allen Popups ebenfalls die Browser-Adresszeile angezeigt wird - eine gefälschte Zeile würde also unterhalb der echten angezeigt und entsprechend auffallen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. ARM-Betriebssystemversion
    Windows läuft auf Macs mit Apple Silicon
  2. Apple Silicon im Test
    Was der M1-Chip (nicht) kann
  3. Made in USA
    Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
  4. Pandemie
    Offenbar schwerer Fehler in Corona-Warn-App auf Android
  5. Corona-Warn-App
    Datenschutz vor Menschenleben?
Anzeige
Spiele-Angebote
  1. 8,50€
  4. 15,49€
Kommentarübersicht
Re: Und woher weiß der Angreifer welchen Client...
davidcl0nel 26. Sep 2018

Woher weiß der Fisher, daß ich einen Paypal/Amazon/whatever-Account habe, wenn er mir den...

Re: Völlig uninteressant
LinuxMcBook 26. Sep 2018

Liegt wahrscheinlich einfach nur daran, was mit dir für Mails getauscht werden. Wenn da...

Re: ... sondern Mails
Schattenwerk 25. Sep 2018

Ist kein passender Vergleich. Wenn man Geldschein = Signatur gleich setzt, dann wird hier...

Re: Gestern bei der ING-Diba gesehen
ikhaya 25. Sep 2018

Gab es dafür nicht nen Standard für Onlinebanking wo man dann seine persönliche...

Re: Ein Grund mehr, ...
My1 25. Sep 2018

true enough. das browser plugin mailvelope was man mit webmailanbietern nutzen kann hat...

Folgen Sie uns
       
Demon's Souls Remake (PS5) - Fazit

Im Testvideo stellt Golem.de das Remake des epischen Fantasy-Rollenspiels Demon's Souls für die Playstation 5 vor.

Demon's Souls Remake (PS5) - Fazit Video aufrufen
ANC
Bluetooth-Hörstöpsel mit ANC im Test: Jabra schlägt Apple, Bose hat andere Vorzüge
Bluetooth-Hörstöpsel mit ANC im Test
Jabra schlägt Apple, Bose hat andere Vorzüge

Wir haben endlich Bluetooth-Hörstöpsel mit Active Noise Cancellation (ANC) gefunden, die mehr bieten als Apples Airpods Pro.
Ein Test von Ingo Pakalski

  1. Freebuds Studio im Test Huawei beißt sich an Sony und Bose die Zähne aus
  2. Musik Yamahas erster Kopfhörer mit ANC-Technik
  3. Elite 85t Jabra bringt kompakte ANC-Hörstöpsel für 230 Euro
Asus
Zenbook Flip UX371E im Test: Asus steht sich selbst im Weg
Zenbook Flip UX371E im Test
Asus steht sich selbst im Weg

Das Asus Zenbook Flip UX371E verbindet eines der besten OLED-Displays mit exzellenter Tastatur-Trackpad-Kombination. Wäre da nicht ein Aber.
Ein Test von Oliver Nickel

  1. Vivobook S14 S433 und S15 S513 Asus bringt Tiger-Lake-Notebooks ab 700 Euro
  2. Asus Expertbook P1 350-Euro-Notebook tauscht gutes Display gegen gesteckten RAM
  3. Asus Zenfone 7 kommt mit Dreifach-Klappkamera
Smart Home
AVM Fritzdect Smarthome im Test: Nicht smart kann auch smarter sein
AVM Fritzdect Smarthome im Test
Nicht smart kann auch smarter sein

AVMs Fritz Smarthome nutzt den Dect-Standard, um Lampen und Schalter miteinander zu verbinden. Das geht auch offline im eigenen LAN.
Ein Test von Oliver Nickel

  1. Konkurrenz zu Philips Hue Signify bringt WLAN-Lampen von Wiz auf den Markt
  2. Smarte Kühlschränke Hersteller verschweigen Kundschaft Support-Dauer
  3. Magenta Smart Home Telekom bietet mehr für das kostenlose Angebot
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /