PGP : Sicherheitslücke in E-Mail-Verschlüsselung entdeckt
- Aktualisiert am
Durch die Offenlegung des Sicherheitslecks könnten sensible Daten an die Öffentlichkeit geraten, warnt die amerikanische Bürgerrechtsbewegung EFF. Bild: dpa
Mit „Pretty Good Privacy“ (PGP) lassen sich E-Mails verschlüsseln und Online-Signaturen erstellen. Deutsche Wissenschaftler haben nun eine gravierende Sicherheitslücke aufgedeckt.
Forscher der FH Münster, der Ruhr-Universität Bochum und der KU Löwen in Belgien haben eine schwerwiegende Sicherheitslücke in den Verschlüsselungs- und Signierungsprogrammen PGP und S/MIME entdeckt. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie weitergeleitet wird. „E-Mail ist kein sicheres Kommunikationsmedium mehr“, wird FH-Professor Sebastian Schinzel in der „Süddeutschen Zeitung“ zitiert, die gemeinsam mit WDR und NDR zuerst über die Sicherheitslücke berichtet hatte.
Durch die Kombination von öffentlichen und privaten Schlüsselcodes lassen sich durch „Pretty Good Privacy“ (PGP) nicht nur E-Mails verschlüsseln, sondern auch elektronische Unterschriften verifizieren. Während die öffentlichen Schlüsselcodes zum Verschlüsseln einer digitalen Nachricht dienen, wird die private Variante zum Entschlüsseln verwendet. Zum Austausch dieser Codes dient das sogenannte „Web of Trust“. Die Echtheit der Schlüssel soll hierbei durch gegenseitiges Vertrauen in Form von individuellem Bestätigen der einzelnen Teilnehmer ermöglicht werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte in einer Stellungnahme mit, PGP und S/MIME könnten weiterhin verwendet werden, wenn sie „korrekt implementiert und sicher konfiguriert“ werden. Die Schwachstellen ließen sich zunächst durch Patches und angepasstes Nutzerverhalten schließen. Langfristig müssten jedoch die OpenPGP- und S/MIME-Standards angepasst werden.
Nach Angaben des BSI müssen PGP-Nutzer jetzt insbesondere aktive Inhalte - darunter auch den oft standardmäßig voreingestellten HTML-Code sowie externe Inhalte - in ihren E-Mails deaktivieren. Darüber hinaus müssten E-Mail-Server und -Clients gegen unauthorisierte Zugriffsversuche abgesichert sein. Dann bliebe PGP-Verschlüsselung ein „wichtiges und geeignetes Mittel zur Erhöhung der Informationssicherheit“.
Die Forscher wollen ihre Ergebnisse am Freitag auf einer Fachkonferenz in Bochum vorstellen. Laut „SZ“ funktioniert das Knacken von PGP so: In einer unverfänglich aussehenden E-Mail verstecken Hacker Datenwust, den sogenannten Ciphertext, und senden ihn an das „Opfer“. Der Computer des Opfers öffnet die Mail und stellt fest, dass er den angehängten Datenwust entziffern kann. Denn er verfügt ja über den privaten Schlüssel. Ist der präparierte Text entziffert, wird er an eine Seite verschickt, die die Angreifer kontrollieren können.
