PGP-Exploit EFAIL — aber mailbox.org Guard anscheinend sicher

Ein Team rund um Prof. Sebastian Schinzel der FH Münster hat für diese Woche Dienstag die Veröffentlichung einer erheblichen Sicherheitslücke in PGP angekündigt — und die Welt ist in Aufruhr. Der Implementierungsfehler in vielen PGP-Programmen kann dafür sorgen, daß Clients die eigentlich verschlüsselt übermittelten Inhalte im Klartext an externe Quellen ausleiten, wenn es dem Angreifer vorher gelungen ist, die verschlüsselte Nachricht zu manipulieren. Die PGP-Sicherheitslücke kann weltweit Mailinhalte publik machen („exploiten“). Die Ergebnisse der FH Münster wurden auf https://efail.de veröffentlicht, die exakten Details sind in einem PDF Paper zu Efail veröffentlicht.

mailbox.org Guard scheint sicher zu sein!

Nach aktuellem Stand sieht es so aus, als ob die PGP-Implementierung im mailbox.org NICHT betroffen ist. Bislang konnten wir das Sicherheitsproblem nicht nachstellen: Alle derart manipulierten Nachrichten wurden von unserem PGP-System im Guard ordnungsgemäß abgefangen, Mailinhalte scheinen durch unser Guard-System NICHT kompromittiert werden zu können. Auch das Efail-PDF der FH Münster wertet mailbox.org ausdrücklich als sicher und nicht betroffen!

[Im späteren Verlauf des PDFs wird auch ein weiteres Nachladeproblem auf Basis von Mailvelope verwiesen — dabei handelt es sich um ein grundsätzliches Mailvelope-Problem und einem Verhalten des Webbrowsers des Nutzers, das mit mailbox.org nichts zu tun hat.]

Erste-Hilfe-Maßnahmen für Anwender

Da vorab einige Hersteller über das Sicherheitsproblem informiert wurden, werden viele Projekte bereits Gegenmaßnahmen ergriffen haben. Auch wenn das Forscherteam der FH Münster derzeit grundsätzlich zu einer Deaktivierung rät, sind Updates von Mailprogrammen und PGP-Tools auf aktuelle Versionen stets eine gute Idee. Nach unseren Tests scheinen aktuelle Versionen von Enigmail für Thunderbird bereits gefixt zu sein.

Die Autoren des EFAIL-Papers fordern drastisch, die Kommunikation von verschlüsselten Nachrichten einzustellen. Dies mag dem Wunsch nach PR und Publicity geschuldet sein (dazu unten mehr!) — fachlich gerechtfertigt ist es nicht.

Das Problem: Verzichten Nutzer nun vor lauter Angst auf den Einsatz von Verschlüsselung per se und senden ihre E-Mails wieder im Klartext, ist am Ende des Tages genau nichts gewonnen — denn der besagte Man-in-the-Middle könnte die jeweiligen Nachrichten dann ebenso bequem — oder noch bequemer — im Klartext lesen als wenn er die Sicherheitslücke ausnutzen könnte/würde. Folgerichtig kann man also nur zu dem Schluss kommen, dass entsprechend sensible Nachrichten dann derzeit gar nicht per Mail verschickt werden können — weder mit noch ohne PGP.

Wenn alternative gesicherte Kommunikationskanäle zur Verfügung stehen, ist das schön und gut und eine sinnvolle Lösung, darauf auszuweichen. Stehen diese jedoch nicht zur Verfügung, wird man im Einzelfall zu dem Schluss kommen müssen, dass ggf. weiterhin PGP eingesetzt wird — und jedem Anwender aber klar sein muss, dass die wirkliche Abhörsicherheit derzeit nicht gewährleistet ist.

Alles in allem stellt sich aber die Frage: Existiert das Problem denn in dieser Dramatik überhaupt? Das Team der FH Münster hat noch versprochen, eine Liste von betroffenen Programmen nebst Versionen zu veröffentlichen. Nach unseren Recherchen scheint in aktuelle Thunderbird/Enigmail-Versionen das Problem bereits behoben zu sein.

Thunderbird: Sicher konfigurieren statt Verschlüsselung abschalten

Denn abgesehen davon, dass viele Implementierungen nicht anfällig sind — allgemein reicht es aus, die Darstellung als HTML-E-Mail beim Empfänger abzuschalten. Aufgrund der uns vorliegenden Detailkenntnis gehen wir derzeit aber davon aus, dass Thunderbird

  • bei deaktivierter HTML-Darstellung der E-Mails auf Empfängerseite (!)

bereits nicht mehr anfällig ist. Zusätzlich schützt

  • wenn ein automatisches Nachladen von Mail-Teilen aus dem Internet (Bilder, CSS-Dateien) deaktiviert ist

so dass keine direkte Kompromittierung über derart manipulierte Nachrichten möglich sein dürfte.

Workaround: HTML in Thunderbird abschalten!

Es könnte also sinnvoll sein, statt einer vollständigen Deaktivierung von PGP-verschlüsselten Nachrichten hilfsweise auf eine Text-Only-Ansicht im Thunderbird auszuweichen:

Deutsches Thunderbird:

  • Bearbeiten => Einstellungen => Datenschutz => „Externe Inhalte in E-Mails erlauben“ NICHT aktivieren
  • Ansicht => Nachrichteninhalt =>Reiner Text

Englisches Thunderbird:

  • Edit => Preferences => Privacy => „Allow remote content in messages“ NICHT aktivieren
  • View => Message Body As => Plain Text

Allerdings ist auch klar, dass dies jeweils beim Empfänger passieren muss — was ein Sender einer sensiblen verschlüsselten Nachricht nicht wissen kann. Ob die Nachricht selbst in HTML verfasst ist, ist hingegen irrelevant.

Für Mailprofis: DKIM könnte helfen, ist aber noch nicht verbreitet

Auch ein konsequenter Einsatz von DKIM und DMARC würde die Manipulation der Ursprungsnachricht auffliegen lassen, was wieder einmal nur zeigt, wie wichtig die gemeinsame Anwendung mehrerer paralleler Sicherheitstechniken ist. Aus gutem Grund setzt mailbox.org seit jeher konsequent auf diese Techniken und signiert alle ausgehenden E-Mails. Da DKIM jedoch nicht flächendeckend bei allen Providern im Einsatz ist, lässt sich daraus heutzutage für diese Lücke noch kein nennenswerter Schutz ableiten. Auch bieten die wenigen DKIM-Unterstützungen in den Mailclients noch nicht die Möglichkeit, die Ansicht einer Mail von vornherein komplett zu verhindern, wenn DKIM-Records auf eine veränderte Nachricht hindeuten. Insofern dient diese Sicherheitslücke nur als Motivationsgeber, hart an einer weitere Verbreitung dieser Maßnahmen zu arbeiten.

UPDATE: Fragwürdiges Vorgehen der FH Münster — irreführende Überschriften — PGP ist weiterhin sicher

Angesichts der Tatsache, dass Klartextkommunikation auch keine Lösung ist, angesichts der Tatsache, dass es für sicherheitssensible User Workarounds gibt und angesichts der Tatsache, dass viele Implementierungen nie betroffen waren oder mittlerweile im Vorfeld repariert wurden, ist das Vorgehen des Teams der FH Münster leider mehr als fragwürdig. Wenn nun im großen Stil die Abschaltung von PGP gefordert wird, ist das wenig konstruktiv und hilfreich — und erweist den Nutzern und der Sicheren E-Mail-Kommunikation einen Bärendienst. Die umfangreich falsche Berichterstattung, die das Vorgehen ausgelöst hat, spricht Bände.

Hier hat wohl der Wunsch des Forscherteams nach guter Publicity und Pressearbeit überhand genommen. -Letzteres hat gut funktioniert, wenn landauf, landab große überregionale Tageszeiten Artikelüberschriften bringen, nach denen „PGP geknackt“ worden sei. -Das ist natürlich absoluter Unsinn, denn die PGP-Verschlüsselung ist mitnichten geknackt und war auch nie betroffen. Lediglich das Handling von HTML-E-Mails in einigen Mailclients ist ein Problem (aber das ist es seit 25 Jahren!).

Im zweiten Teil des Dokuments haben die Forscher eine potentielle echte Lücke in der Kryptografie von PGP dargelegt — auch dort schreiben die Forscher jedoch, dass es ihnen noch nicht gelungen ist, dieses denkbare Problem tatsächlich auszunutzen. Dieser Bereich hätte die Überschrift „PGP ist geknackt“ vielleicht verdient gehabt — doch noch am selben Tag haben die Entwickler von GnuPGP und GPG4Win in einem gemeinsamen Statement dargelegt, dass das Angriffsszenario bereits 1999 aufgefallen und „seit Sommer 2000“ nicht mehr möglich sei. Sprich: Hypothetischer Fehlalarm, der im Vorfeld anscheinend noch nicht mal überprüft wurde.

Diverse Medien mussten mittlerweile zurückrudern. So änderte ZEIT ONLINE nachträglich ihre Überschrift und spricht nicht mehr von geknackter Verschlüsselung, sondern „ausgehebelter“ Verschlüsselung. Kann man vielleicht gelten lassen, auch wenn dem normalen Leser weiterhin suggeriert wird, die Verschlüsselung sei unsicher (dabei ist es doch der Mailclient!). Doch auch weiterhin ist viel Hype im Thema. „Man müsse dem Empfänger vertrauen“ und „Keiner kann mehr sicher sein, dass die entschlüsselte Nachricht nicht publiziert wird“. -Das ist soweit richtig, aber solange landauf, landab die Empfänger vireninfizierte Windows-PCs verwenden, ist es ein allgemeines und stets vorhandenes (und wahrscheinlicheres?) Problem, dass vom Rechner des Empfängers Daten entführt werden können. „Forscher raten, Computer vorübergehend nicht mehr zu benutzen“ wäre also die sinnvollere Überschrift gewesen, wenn wir schon partout Panikmache zur Auflagensteigerung verwenden wollen.