OpenPGP/GnuPG: Signaturen fälschen mit HTML und Bildern
PGP-Signaturen sollen gewährleisten, dass eine E-Mail tatsächlich vom korrekten Absender kommt. Mit einem simplen Trick kann man bei vielen Mailclients scheinbar signierte Nachrichten erstellen - indem man die entsprechende Anzeige mittels HTML fälscht.

Neben der Verschlüsselung von Mails kann man mit dem OpenPGP-Standard und GnuPG E-Mails auch digital signieren. Damit soll gewährleistet werden, dass Mails vom korrekten Absender kommen und nicht gefälscht werden können. Doch zahlreiche Mailprogramme und Plugins weisen eine erstaunlich triviale Schwäche auf: Die Anzeige, dass eine Mail korrekt signiert ist, kann man fälschen, indem man etwa einfach ein passendes Bild in die Mail via HTML einfügt.
In Enigmail, dem GnuPG-Plugin für Mozilla Thunderbird, wurde beispielsweise eine signierte Mail bisher durch einen farbigen Balken über der Mail angezeigt. Bei Absendern, deren PGP-Schlüsseln der Empfänger vertraut, ist die Anzeige grün und informiert über eine korrekte Signatur. Diesen Balken zu fälschen, ist trivial, so kann man beispielsweise einfach einen passenden Screenshot einer korrekt signierten Mail anfertigen und diesen als Bild in die Mail einbetten.
Enigmail-Fälschung mit kleinem Schönheitsfehler
Ganz perfekt ist die Fälschung bei Enigmail nicht: In den Headern der Mail wird ein Logo eines verschlossenen Briefumschlages angezeigt. Da sich dieses außerhalb der eigentlichen Mail befindet, hat der Absender hier keinen Einfluss auf die Anzeige. Doch der grüne Balken ist das deutlich auffälligere Signal, den wenigsten dürfte das Fehlen des Briefumschlag-Symbols auffallen.
Enigmail hat auf dieses Problem inzwischen reagiert: In der jüngsten Version 2.0.8 wird der Signaturbalken oberhalb der Mailheader angezeigt.
Kmail-Signatur lässt sich fast perfekt nachbilden
Eine nahezu perfekte Fälschung kann man für das KDE-Programm Kmail anfertigen. Dort wird eine signierte, vertrauenswürdige Mail durch einen grünen Rahmen angezeigt. Diesen kann man relativ simpel mit HTML nachbauen. Wenn man die Mail in einem eigenen Fenster öffnet, ist kein Unterschied mehr erkennbar. Nur in der Nachrichtenübersicht wird ein kleines, kaum sichtbares Symbol angezeigt, das auf die Signatur hinweist.
Eine entsprechend gefälschte Signatur im Gnome-Mailprogramm Evolution hat einige Schönheitsfehler. So gibt es einen Rahmen um die Mail herum, der bei einer echten Signatur die Signaturanzeige nicht mit erfasst. Trotzdem dürfte auch hier die Fälschung einer flüchtigen Prüfung standhalten.
Etwas anders sieht die Situation bei Apple Mail und dem zugehörigen Plugin GPGTools aus. Dort wird eine signierte Mail bei den Headern angezeigt. Auch hier gibt es eine Möglichkeit, den Empfänger zu verwirren. Im Betreff einer Mail lassen sich bei Apple Mail Zeilenumbrüche unterbringen. Alternativ kann man auch einfach mehrere Betreffzeilen in einer Mail unterbringen, diese werden dann von Apple Mail untereinander angezeigt.
Die Fälschung hier ist nicht komplett überzeugend: Normalerweise befindet sich der Security-Pseudoheader, der die Signatur anzeigt, unterhalb der Absenderzeile, das lässt sich jedoch bei der Fälschung nicht erreichen. Außerdem enthält die echte Signatur ein Symbol eines von einem Stern umrundeten Hakens. Ein solches Symbol ist nicht Teil des Unicode-Standards, lediglich ein ähnliches Symbol lässt sich anzeigen.
Die jüngste Version 2018.4 von GPGTools verhindert die Anzeige von mehreren Subject-Zeilen, doch das eigentliche Problem ist ein Bug in Apple Mail. Apple hat bisher auf unsere Meldung dazu nicht reagiert.
Mutt: Einfach die gewünschte Meldung von GnuPG mitschicken
In Mutt, einem Mailprogramm im Textmodus, wird die Textausgabe der GPG-Verifikation einfach als Teil der Mail angezeigt. Auch das lässt sich natürlich einfach fälschen, indem man eine entsprechende Ausgabe in der Mail mitschickt. Allerdings wird in der Statuszeile ebenfalls ein Hinweis auf die signierte Mail angezeigt.
Die Mutt-Entwickler teilten auf Anfrage mit, dass das Problem bekannt sei und es zahlreiche Optionen gebe, sich zu schützen. So lassen sich etwa signierte Mails farbig anzeigen, die Farbe lässt sich vom Absender nicht beeinflussen.
Generell zeigt dieser Angriff, dass man sich bisher offenbar wenig Gedanken über Sicherheitsindikatoren im E-Mail-Bereich gemacht hat. Ähnliche Angriffe gab es auch schon in anderen Bereichen, so war es etwa früher in Browsern möglich, Popups zu erstellen, die eine gefälschte Adresszeile zeigen. Doch inzwischen verhindern Browser das, da in allen Popups ebenfalls die Browser-Adresszeile angezeigt wird - eine gefälschte Zeile würde also unterhalb der echten angezeigt und entsprechend auffallen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Woher weiß der Fisher, daß ich einen Paypal/Amazon/whatever-Account habe, wenn er mir den...
Liegt wahrscheinlich einfach nur daran, was mit dir für Mails getauscht werden. Wenn da...
Ist kein passender Vergleich. Wenn man Geldschein = Signatur gleich setzt, dann wird hier...
Gab es dafür nicht nen Standard für Onlinebanking wo man dann seine persönliche...