Abo
  • Services:

OpenPGP/GnuPG: Signaturen fälschen mit HTML und Bildern

PGP-Signaturen sollen gewährleisten, dass eine E-Mail tatsächlich vom korrekten Absender kommt. Mit einem simplen Trick kann man bei vielen Mailclients scheinbar signierte Nachrichten erstellen - indem man die entsprechende Anzeige mittels HTML fälscht.

Artikel von Hanno Böck veröffentlicht am
Unterschriften fälschen - das geht auch digital bei OpenPGP-Signaturen.
Unterschriften fälschen - das geht auch digital bei OpenPGP-Signaturen. (Bild: Dreamstime/CC0 1.0)

Neben der Verschlüsselung von Mails kann man mit dem OpenPGP-Standard und GnuPG E-Mails auch digital signieren. Damit soll gewährleistet werden, dass Mails vom korrekten Absender kommen und nicht gefälscht werden können. Doch zahlreiche Mailprogramme und Plugins weisen eine erstaunlich triviale Schwäche auf: Die Anzeige, dass eine Mail korrekt signiert ist, kann man fälschen, indem man etwa einfach ein passendes Bild in die Mail via HTML einfügt.

Stellenmarkt
  1. über duerenhoff GmbH, Schwäbisch Hall
  2. Kommunale Unfallversicherung Bayern, München

In Enigmail, dem GnuPG-Plugin für Mozilla Thunderbird, wurde beispielsweise eine signierte Mail bisher durch einen farbigen Balken über der Mail angezeigt. Bei Absendern, deren PGP-Schlüsseln der Empfänger vertraut, ist die Anzeige grün und informiert über eine korrekte Signatur. Diesen Balken zu fälschen, ist trivial, so kann man beispielsweise einfach einen passenden Screenshot einer korrekt signierten Mail anfertigen und diesen als Bild in die Mail einbetten.

Enigmail-Fälschung mit kleinem Schönheitsfehler

Ganz perfekt ist die Fälschung bei Enigmail nicht: In den Headern der Mail wird ein Logo eines verschlossenen Briefumschlages angezeigt. Da sich dieses außerhalb der eigentlichen Mail befindet, hat der Absender hier keinen Einfluss auf die Anzeige. Doch der grüne Balken ist das deutlich auffälligere Signal, den wenigsten dürfte das Fehlen des Briefumschlag-Symbols auffallen.

Enigmail hat auf dieses Problem inzwischen reagiert: In der jüngsten Version 2.0.8 wird der Signaturbalken oberhalb der Mailheader angezeigt.

Kmail-Signatur lässt sich fast perfekt nachbilden

Eine nahezu perfekte Fälschung kann man für das KDE-Programm Kmail anfertigen. Dort wird eine signierte, vertrauenswürdige Mail durch einen grünen Rahmen angezeigt. Diesen kann man relativ simpel mit HTML nachbauen. Wenn man die Mail in einem eigenen Fenster öffnet, ist kein Unterschied mehr erkennbar. Nur in der Nachrichtenübersicht wird ein kleines, kaum sichtbares Symbol angezeigt, das auf die Signatur hinweist.

  • Links das Original, rechts die Fälschung in Enigmail und Thunderbird.
  • In der neuen Enigmail-Version wird die Signaturinfo über den Mailheadern angezeigt.
  • In Kmail gibt es keinen sichtbaren Unterschied zwischen Original und Fälschung.
  • In Evolution gibt es einige Schönheitsfehler, aber einem flüchtigen Blick hält die Fälschung trotzdem stand.
  • In Apple Mail kann man mehrere Betreffzeilen schicken und damit falsche Header einfügen.
  • In Mutt wird die Ausgabe von GnuPG direkt als Text angezeigt.
Links das Original, rechts die Fälschung in Enigmail und Thunderbird.

Eine entsprechend gefälschte Signatur im Gnome-Mailprogramm Evolution hat einige Schönheitsfehler. So gibt es einen Rahmen um die Mail herum, der bei einer echten Signatur die Signaturanzeige nicht mit erfasst. Trotzdem dürfte auch hier die Fälschung einer flüchtigen Prüfung standhalten.

Etwas anders sieht die Situation bei Apple Mail und dem zugehörigen Plugin GPGTools aus. Dort wird eine signierte Mail bei den Headern angezeigt. Auch hier gibt es eine Möglichkeit, den Empfänger zu verwirren. Im Betreff einer Mail lassen sich bei Apple Mail Zeilenumbrüche unterbringen. Alternativ kann man auch einfach mehrere Betreffzeilen in einer Mail unterbringen, diese werden dann von Apple Mail untereinander angezeigt.

Die Fälschung hier ist nicht komplett überzeugend: Normalerweise befindet sich der Security-Pseudoheader, der die Signatur anzeigt, unterhalb der Absenderzeile, das lässt sich jedoch bei der Fälschung nicht erreichen. Außerdem enthält die echte Signatur ein Symbol eines von einem Stern umrundeten Hakens. Ein solches Symbol ist nicht Teil des Unicode-Standards, lediglich ein ähnliches Symbol lässt sich anzeigen.

Die jüngste Version 2018.4 von GPGTools verhindert die Anzeige von mehreren Subject-Zeilen, doch das eigentliche Problem ist ein Bug in Apple Mail. Apple hat bisher auf unsere Meldung dazu nicht reagiert.

Mutt: Einfach die gewünschte Meldung von GnuPG mitschicken

In Mutt, einem Mailprogramm im Textmodus, wird die Textausgabe der GPG-Verifikation einfach als Teil der Mail angezeigt. Auch das lässt sich natürlich einfach fälschen, indem man eine entsprechende Ausgabe in der Mail mitschickt. Allerdings wird in der Statuszeile ebenfalls ein Hinweis auf die signierte Mail angezeigt.

Die Mutt-Entwickler teilten auf Anfrage mit, dass das Problem bekannt sei und es zahlreiche Optionen gebe, sich zu schützen. So lassen sich etwa signierte Mails farbig anzeigen, die Farbe lässt sich vom Absender nicht beeinflussen.

Generell zeigt dieser Angriff, dass man sich bisher offenbar wenig Gedanken über Sicherheitsindikatoren im E-Mail-Bereich gemacht hat. Ähnliche Angriffe gab es auch schon in anderen Bereichen, so war es etwa früher in Browsern möglich, Popups zu erstellen, die eine gefälschte Adresszeile zeigen. Doch inzwischen verhindern Browser das, da in allen Popups ebenfalls die Browser-Adresszeile angezeigt wird - eine gefälschte Zeile würde also unterhalb der echten angezeigt und entsprechend auffallen.

Zu den Kommentaren springen
Meistgelesen
  1. IMHO
    Sechs Jahre, ein Smartphone
  2. Odroid N2
    Bastelrechner kommt mit Sechskern-CPU und 4 GByte RAM
  3. Metro Exodus im Technik-Test
    Richtiges Raytracing rockt
  4. Smartphones
    Amazon-Marketplace-Händler verschenken ungefragt Produkte
  5. Datenschutz
    18.000 Android-Apps spionieren Nutzer unzulässig aus
Anzeige
Top-Angebote
  1. 319€ (aktuell günstigste GTX 1070!)
  2. (aktuell u. a. Enermax T.B.Silence ADV 120 mm für 9,99€ + Versand)
  3. (u. a. Euro Truck Simulator 2 - Beyond the Baltic Sea (DLC) für 8,99€ und Fortnite - Deep Freeze...
  4. 99€ + Versand (Vergleichspreis ca. 116€ + Versand)
Kommentarübersicht
Re: Und woher weiß der Angreifer welchen Client...
davidcl0nel 26. Sep 2018

Woher weiß der Fisher, daß ich einen Paypal/Amazon/whatever-Account habe, wenn er mir den...

Re: Völlig uninteressant
LinuxMcBook 26. Sep 2018

Liegt wahrscheinlich einfach nur daran, was mit dir für Mails getauscht werden. Wenn da...

Re: ... sondern Mails
Schattenwerk 25. Sep 2018

Ist kein passender Vergleich. Wenn man Geldschein = Signatur gleich setzt, dann wird hier...

Re: Gestern bei der ING-Diba gesehen
ikhaya 25. Sep 2018

Gab es dafür nicht nen Standard für Onlinebanking wo man dann seine persönliche...

Re: Ein Grund mehr, ...
My1 25. Sep 2018

true enough. das browser plugin mailvelope was man mit webmailanbietern nutzen kann hat...

Folgen Sie uns
       
MTG Arena Ravnica Allegiance - Livestream 1

Im ersten Teil unseres Livestreams erklären wir alle neuen Mechaniken von Ravnica Allegiance.

MTG Arena Ravnica Allegiance - Livestream 1 Video aufrufen
IT-Jobs
IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer
Mac Mini
Mac Mini mit eGPU im Test: Externe Grafik macht den Mini zum Pro
Mac Mini mit eGPU im Test
Externe Grafik macht den Mini zum Pro

Der Mac Mini mit Hexacore-CPU eignet sich zwar gut für Xcode. Wer eine GPU-Beschleunigung braucht, muss aber zum iMac (Pro) greifen - oder eine externe Grafikkarte anschließen. Per eGPU ausgerüstet wird der Mac Mini viel schneller und auch preislich kann sich das lohnen.
Ein Test von Marc Sauter

  1. Apple Mac Mini (Late 2018) im Test Tolles teures Teil - aber für wen?
  2. Apple Mac Mini wird grau und schnell
  3. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen
Chromebook
Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch

    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /