Abo
  • Services:

OpenPGP/GnuPG: Signaturen fälschen mit HTML und Bildern

PGP-Signaturen sollen gewährleisten, dass eine E-Mail tatsächlich vom korrekten Absender kommt. Mit einem simplen Trick kann man bei vielen Mailclients scheinbar signierte Nachrichten erstellen - indem man die entsprechende Anzeige mittels HTML fälscht.

Artikel von Hanno Böck veröffentlicht am
Unterschriften fälschen - das geht auch digital bei OpenPGP-Signaturen.
Unterschriften fälschen - das geht auch digital bei OpenPGP-Signaturen. (Bild: Dreamstime/CC0 1.0)

Neben der Verschlüsselung von Mails kann man mit dem OpenPGP-Standard und GnuPG E-Mails auch digital signieren. Damit soll gewährleistet werden, dass Mails vom korrekten Absender kommen und nicht gefälscht werden können. Doch zahlreiche Mailprogramme und Plugins weisen eine erstaunlich triviale Schwäche auf: Die Anzeige, dass eine Mail korrekt signiert ist, kann man fälschen, indem man etwa einfach ein passendes Bild in die Mail via HTML einfügt.

Stellenmarkt
  1. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Ilmenau
  2. ADAC Ostwestfalen-Lippe e.V., Bielefeld

In Enigmail, dem GnuPG-Plugin für Mozilla Thunderbird, wurde beispielsweise eine signierte Mail bisher durch einen farbigen Balken über der Mail angezeigt. Bei Absendern, deren PGP-Schlüsseln der Empfänger vertraut, ist die Anzeige grün und informiert über eine korrekte Signatur. Diesen Balken zu fälschen, ist trivial, so kann man beispielsweise einfach einen passenden Screenshot einer korrekt signierten Mail anfertigen und diesen als Bild in die Mail einbetten.

Enigmail-Fälschung mit kleinem Schönheitsfehler

Ganz perfekt ist die Fälschung bei Enigmail nicht: In den Headern der Mail wird ein Logo eines verschlossenen Briefumschlages angezeigt. Da sich dieses außerhalb der eigentlichen Mail befindet, hat der Absender hier keinen Einfluss auf die Anzeige. Doch der grüne Balken ist das deutlich auffälligere Signal, den wenigsten dürfte das Fehlen des Briefumschlag-Symbols auffallen.

Enigmail hat auf dieses Problem inzwischen reagiert: In der jüngsten Version 2.0.8 wird der Signaturbalken oberhalb der Mailheader angezeigt.

Kmail-Signatur lässt sich fast perfekt nachbilden

Eine nahezu perfekte Fälschung kann man für das KDE-Programm Kmail anfertigen. Dort wird eine signierte, vertrauenswürdige Mail durch einen grünen Rahmen angezeigt. Diesen kann man relativ simpel mit HTML nachbauen. Wenn man die Mail in einem eigenen Fenster öffnet, ist kein Unterschied mehr erkennbar. Nur in der Nachrichtenübersicht wird ein kleines, kaum sichtbares Symbol angezeigt, das auf die Signatur hinweist.

  • Links das Original, rechts die Fälschung in Enigmail und Thunderbird.
  • In der neuen Enigmail-Version wird die Signaturinfo über den Mailheadern angezeigt.
  • In Kmail gibt es keinen sichtbaren Unterschied zwischen Original und Fälschung.
  • In Evolution gibt es einige Schönheitsfehler, aber einem flüchtigen Blick hält die Fälschung trotzdem stand.
  • In Apple Mail kann man mehrere Betreffzeilen schicken und damit falsche Header einfügen.
  • In Mutt wird die Ausgabe von GnuPG direkt als Text angezeigt.
Links das Original, rechts die Fälschung in Enigmail und Thunderbird.

Eine entsprechend gefälschte Signatur im Gnome-Mailprogramm Evolution hat einige Schönheitsfehler. So gibt es einen Rahmen um die Mail herum, der bei einer echten Signatur die Signaturanzeige nicht mit erfasst. Trotzdem dürfte auch hier die Fälschung einer flüchtigen Prüfung standhalten.

Etwas anders sieht die Situation bei Apple Mail und dem zugehörigen Plugin GPGTools aus. Dort wird eine signierte Mail bei den Headern angezeigt. Auch hier gibt es eine Möglichkeit, den Empfänger zu verwirren. Im Betreff einer Mail lassen sich bei Apple Mail Zeilenumbrüche unterbringen. Alternativ kann man auch einfach mehrere Betreffzeilen in einer Mail unterbringen, diese werden dann von Apple Mail untereinander angezeigt.

Die Fälschung hier ist nicht komplett überzeugend: Normalerweise befindet sich der Security-Pseudoheader, der die Signatur anzeigt, unterhalb der Absenderzeile, das lässt sich jedoch bei der Fälschung nicht erreichen. Außerdem enthält die echte Signatur ein Symbol eines von einem Stern umrundeten Hakens. Ein solches Symbol ist nicht Teil des Unicode-Standards, lediglich ein ähnliches Symbol lässt sich anzeigen.

Die jüngste Version 2018.4 von GPGTools verhindert die Anzeige von mehreren Subject-Zeilen, doch das eigentliche Problem ist ein Bug in Apple Mail. Apple hat bisher auf unsere Meldung dazu nicht reagiert.

Mutt: Einfach die gewünschte Meldung von GnuPG mitschicken

In Mutt, einem Mailprogramm im Textmodus, wird die Textausgabe der GPG-Verifikation einfach als Teil der Mail angezeigt. Auch das lässt sich natürlich einfach fälschen, indem man eine entsprechende Ausgabe in der Mail mitschickt. Allerdings wird in der Statuszeile ebenfalls ein Hinweis auf die signierte Mail angezeigt.

Die Mutt-Entwickler teilten auf Anfrage mit, dass das Problem bekannt sei und es zahlreiche Optionen gebe, sich zu schützen. So lassen sich etwa signierte Mails farbig anzeigen, die Farbe lässt sich vom Absender nicht beeinflussen.

Generell zeigt dieser Angriff, dass man sich bisher offenbar wenig Gedanken über Sicherheitsindikatoren im E-Mail-Bereich gemacht hat. Ähnliche Angriffe gab es auch schon in anderen Bereichen, so war es etwa früher in Browsern möglich, Popups zu erstellen, die eine gefälschte Adresszeile zeigen. Doch inzwischen verhindern Browser das, da in allen Popups ebenfalls die Browser-Adresszeile angezeigt wird - eine gefälschte Zeile würde also unterhalb der echten angezeigt und entsprechend auffallen.

Zu den Kommentaren springen
Meistgelesen
  1. Samsungs faltbares Smartphone
    Display des Galaxy Fold geht schnell kaputt
  2. Noctua NH-U12A im Test
    Lautlos, leistungsstark, luxuriös
  3. Playstation 4
    Sony verschärft Richtlinien über sexuelle Inhalte
  4. Online-Banking
    In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit
  5. Xeon W-3175X ausprobiert
    Schneller als ein Threadripper zum Preis von zwei
Anzeige
Spiele-Angebote
  1. 4,99€
  3. 4,99€
  4. 4,99€
Kommentarübersicht
Re: Und woher weiß der Angreifer welchen Client...
davidcl0nel 26. Sep 2018

Woher weiß der Fisher, daß ich einen Paypal/Amazon/whatever-Account habe, wenn er mir den...

Re: Völlig uninteressant
LinuxMcBook 26. Sep 2018

Liegt wahrscheinlich einfach nur daran, was mit dir für Mails getauscht werden. Wenn da...

Re: ... sondern Mails
Schattenwerk 25. Sep 2018

Ist kein passender Vergleich. Wenn man Geldschein = Signatur gleich setzt, dann wird hier...

Re: Gestern bei der ING-Diba gesehen
ikhaya 25. Sep 2018

Gab es dafür nicht nen Standard für Onlinebanking wo man dann seine persönliche...

Re: Ein Grund mehr, ...
My1 25. Sep 2018

true enough. das browser plugin mailvelope was man mit webmailanbietern nutzen kann hat...

Folgen Sie uns
       
B-all One für Magic Leap - Gameplay

Ein Squash-Spiel zeigt, wie gut bei Magic Leap das Mapping der Umgebung und das Tracking unserer Position klappt.

B-all One für Magic Leap - Gameplay Video aufrufen
Nachhaltigkeit
Energie: Warum Japan auf Wasserstoff setzt
Energie
Warum Japan auf Wasserstoff setzt

Saubere Luft und Unabhängigkeit von Ölimporten: Mit der Umstellung der Wirtschaft auf den Energieträger Wasserstoff will die japanische Regierung gleich zwei große politische Probleme lösen. Das Konzept erscheint attraktiv, hat aber auch entscheidende Nachteile.
Eine Analyse von Werner Pluta

    Leistungsschutzrecht
    Leistungsschutzrecht: Das Lügen geht weiter
    Leistungsschutzrecht
    Das Lügen geht weiter

    Selbst nach der Abstimmung über die EU-Urheberrechtsreform gehen die "Lügen für das Leistungsschutzrecht" weiter. Auf dieser Basis darf die Regierung nicht final den Plänen zum Leistungsschutzrecht zustimmen.
    Eine Analyse von Friedhelm Greis

    1. Urheberrechtsreform Was das Internet nicht vergessen sollte
    2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
    3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern
    Active Noise Cancellation
    ANC-Kopfhörer im Test: Mit Ach und Krach
    ANC-Kopfhörer im Test
    Mit Ach und Krach

    Der neue ANC-Kopfhörer von Audio Technica ist in einem Bereich sogar besser als unsere derzeitigen Favoriten von Sony und Bose - ausgerechnet in der entscheidenden Disziplin schwächelt er aber.
    Ein Test von Ingo Pakalski

    1. Surface Headphones Microsofts erster ANC-Bluetooth-Kopfhörer kostet 380 Euro
    2. Sonys WH-1000XM3 Oberklasse-ANC-Kopfhörer hat Kälteprobleme
    3. Sony-Kopfhörer WH-1000XM3 im Test Eine Oase der Stille oder des puren Musikgenusses
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /