Externe Inhalte, HTML-Mails und Sicherheit

Was ist das Problem mit der GnuPG-API?

Stellenmarkt
  1. Head of IT Business Applications (m/w/d) High-Tech-Industrie
    über Mentis International Human Resources GmbH, Baden-Württemberg
  2. IT-Netzwerkspezialist/-in (m/w/d)
    Bayerisches Landesamt für Steuern, München, Nürnberg
Detailsuche

Zunächst muss man wissen, dass GnuPG keine Bibliothek bereitstellt. Wenn ein anderes Programm GnuPG nutzen will, wird es über das Kommandozeileninterface aufgerufen. Es gibt eine Wrapper-Bibliothek namens GPGme, die wird aber nicht von allen Programmen genutzt.

Beim Kommandozeilentool gibt es genau das problematische Verhalten im Zusammenhang mit MDCs, das zu Sicherheitslücken führt: Bei einem fehlenden MDC oder einem Paket ohne MDC-Schutz wird trotzdem der entschlüsselte Plaintext ausgegeben. Anschließend erscheint eine Fehlermeldung.

Die Kritik daran: Dieses Interface lädt geradezu dazu ein, es unsicher zu implementieren. Ein Mailclient, der GPG aufruft, muss im Fall einer Fehlermeldung den Plaintext verwenden und darf ihn nicht anzeigen.

Golem Akademie
  1. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
  2. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    7.–9. März 2022, Virtuell
Weitere IT-Trainings

Die GnuPG-Entwickler halten dieses Interface für notwendig, um das Streamen von Daten zu ermöglichen. So kann etwa eine mehrere Gigabyte große Datei mit GPG entschlüsselt werden - den Inhalt zu puffern und erst nach korrektem MDC-Check auszugeben, ist nicht machbar.

Dieses Problem ließe sich lösen, wenn man große Nachrichten in mehrere Teile aufspaltet, die einzeln geschützt werden. Doch dafür müsste man wiederum den Standard ändern, mit dem bestehenden OpenPGP-Datenformat ist das nicht machbar.

Reicht es, externe Inhalte zu blockieren?

Die simpelsten Efail-Angriffe basieren darauf, in HTML-Mails externe Inhalte nachzuladen, etwa indem ein Bild vom Server des Angreifers geladen und die verschlüsselte Mail an den Request angehängt wird. Ob das Nachladen von Inhalten erlaubt ist, hängt vom E-Mail-Client und von den Einstellungen ab. In Thunderbird und Outlook ist das Laden externer Inhalte standardmäßig deaktiviert, in Apple Mail ist es standardmäßig aktiv.

Doch es gibt andere denkbare Szenarien. Wir hatten bereits darüber berichtet, dass man den verschlüsselten Mailinhalt in einem HTML-Formular platzieren und dann an den Angreifer schicken kann. Ebenso denkbar sind jedoch Angriffe mit völlig anderen Datenformaten. So ließe sich auch eine PDF konstruieren, die externe Inhalte nachlädt.

Trotzdem ist klar: Es ist generell eine gute Idee, das Nachladen von Inhalten in E-Mails zu unterbinden - völlig unabhängig vom Efail-Angriff. Schon alleine aus Datenschutzsicht ist es problematisch, da beispielsweise Tracking-Pixel in E-Mails Informationen über den Empfänger preisgeben können.

Reicht es, HTML-Mails abzuschalten?

Nein, solange die grundlegenden Probleme mit modifizierbaren Nachrichten nicht behoben sind, hilft das Abschalten von HTML-Mails nur teilweise. Wie oben bereits erwähnt ist es möglich, auch mittels PDF-Dokumenten oder anderen Dokumentformaten eine Nachrichtenexfiltration zu konstruieren.

Allerdings gilt tatsächlich, dass ein Großteil der Angriffe auf HTML-Mails basiert. Wenn HTML-Mails deaktiviert sind und OpenPGP so implementiert ist, dass es nur Nachrichten mit korrektem MDC anzeigt, werden alle bisher bekannten Angriffsszenarien verhindert.

HTML-Mails und Sicherheit - passt das überhaupt zusammen?

Die Darstellung von HTML in E-Mails führt zu einer Reihe von Sicherheitsproblemen, völlig unabhängig von E-Fail. So werden beispielsweise immer wieder Cross-Site-Scripting-Lücken in Webmail-Interfaces gefunden.

Die Grundlagen von HTML-Mails sind in RFC 2110 definiert. Dieser Standard wurde bereits 1997 verabschiedet. Er enthält zwar einen Abschnitt über Sicherheit, doch der ist relativ kurz. Dass die Ausführung von Script-Code in HTML-Mails gefährlich ist, darauf wird verwiesen. Doch ob etwa Formulare in HTML-Mails zugelassen sein sollen oder wie Mailteile voneinander abgetrennt werden - dazu schweigt der Standard.

Ein grundsätzliches Problem ist daher, dass es für HTML-Mails kein durchdachtes Sicherheitskonzept gibt. Bislang versucht jeder Mailclient für sich, bekannte Sicherheitsprobleme zu verhindern.

Warum empfiehlt die Electronic Frontier Foundation (EFF) die Deinstallation von Mailverschlüsselung? Ist eine angreifbare Mailverschlüsselung nicht besser als gar keine?

Die Empfehlung der EFF hat zwei Hintergründe: Zum einen standen zum Zeitpunkt der Efail-Veröffentlichung keine Patches bereit, um die Probleme zu beheben. Zum anderen ermöglicht Efail das Entschlüsseln von Nachrichten aus der Vergangenheit. Wer also vor allem Wert darauf legt, seine Nachrichten aus der Vergangenheit zu schützen, der steht tatsächlich am besten da, wenn er vorläufig alle Mailverschlüsselungs-Funktionen deaktiviert.

Man muss die Einschätzung der EFF nicht teilen, aber es erscheint angesichts der Sachlage zumindest nachvollziehbar, wie es zu dieser Empfehlung kam. Es wäre sicher anders gelaufen, wenn von den beteiligten Softwareprojekten rechtzeitig entsprechende Updates bereitgestellt worden wären.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 PGP/SMIME: Die wichtigsten Fakten zu Efail
  1.  
  2. 1
  3. 2


wanne 28. Mai 2018

Wurden die Entwickler von GnuPG nicht informiert? Was richtig ist: Werner Koch (alleine...

Niveauacreme 27. Mai 2018

Nichts für ungut, aber das sind ja hahnebüchene behauptungen hier. Es ist NICHT möglich...

FreiGeistler 24. Mai 2018

Mit Readern öffnen die wirklich nur PDF können. Z.B. auf mupdf basierende. Für Windows...

My1 22. Mai 2018

sicher ist das kein problem von PGP selbst, aber es war auch ein bedeutender teil von efail.

My1 22. Mai 2018

ja klar aber das neue email kann nicht mit der ori adresse gesendet werdenm dank dkim...



Aktuell auf der Startseite von Golem.de
Ada & Zangemann
Das IT-Märchen, das wir brauchen

Das frisch erschienen Märchenbuch Ada & Zangemann erklärt, was Software-Freiheit ist. Eine schöne Grundlage, um Kinder - aber auch Erwachsene - an IT-Probleme und das Basteln heranzuführen.
Eine Rezension von Sebastian Grüner

Ada & Zangemann: Das IT-Märchen, das wir brauchen
Artikel
  1. HMD Global: Nokia 9 Pureview bekommt doch kein Android 11
    HMD Global
    Nokia 9 Pureview bekommt doch kein Android 11

    Wer ein Nokia 9 Pureview besitzt, erhält vom Hersteller als Ausgleich beim Kauf eines anderen Nokia-Smartphones einen Rabatt.

  2. TTDSG: Neue Cookie-Regelung in Kraft getreten
    TTDSG
    Neue Cookie-Regelung in Kraft getreten

    Mit jahrelanger Verspätung macht Deutschland die Cookie-Einwilligung zur Pflicht. Die Verordnung zu Einwilligungsdiensten lässt noch auf sich warten.

  3. Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
    Prozessoren
    Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

    Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /