zurück zur Übersicht

Efail – Einen Schritt zurücktreten

Nicht erst seit Edward Snowden (und der Anekdote), wie er Glenn Greenwald davon überzeugte, seine Mails zu verschlüsseln) weiß auch der ganz alltägliche PC- und Tablet-Benutzer, dass es Verschlüsselung gibt. Mit diesem Wissen kommt auch die Erkenntnis, dass es eigentlich ratsam wäre, sie auch anzuwenden.

Es ist allerdings manchmal so eine Sache zwischen Wissen und Machen. Ich zum Beispiel weiß, dass es mir gut tun würde, jeden Morgen vor der Arbeit mindestens eine halbe Stunde zu joggen. Ob ich es tatsächlich tue oder nicht, überlasse ich jetzt mal der Fantasie des Lesers. Bei der E-Mail-Verschlüsselung ist es ähnlich. Sie ist vornehmlich unbequem. Vom Schutzeffekt bekommt der Anwender im besten Fall nie etwas mit. Mehr als ein Artikel, der mir zu dem Thema untergekommen ist, hatte den hämischen Unterton von „Ich hab’s doch gewusst, das ist alles vollkommen unnötiger Aufwand und bringen tut’s eh nichts!“

Aber so einfach ist es nicht. Weder ist PGP per se kaputt, noch Verschlüsselung unnötig. Ganz im Gegenteil. Dass ausgerechnet die Electronic Frontier Foundation (EFF) davon abgeraten hat, S/MIME und OpenPGP weiter zu verwenden, ist mir ein Rätsel – zumal es keinen angemessenen Ersatz gibt. Um das oft verwendete Gleichnis zu verwenden, empfiehlt die EFF allen, wieder Postkarten zu schreiben, nur weil bekannt geworden ist, dass versiegelte Briefe von einem fähigen Angreifer, der es auf eine bestimmte Person abgesehen hat, unter Umständen gelesen werden könnten.

Aber wo liegt denn jetzt eigentlich das Problem?

Efail ist eine Ansammlung von miteinander in Kombination arbeitenden Schwachstellen, man könnte auch sagen: Features. Im Großen und Ganzen geht es zwar um S/MIME und OpenPGP, aber die eigentliche Lücke kommt zum Tragen, wenn Komponenten der Bequemlichkeit, sprich E-Mail-Clients, ins Spiel kommen.

Dazu sei noch einmal wiederholt, dass die Standards S/MIME und OpenPGP nicht die frischesten sind. Efail war lange nicht die erste Schwachstelle, die sich auf diese beiden Protokolle bezieht. S/MIME beinhaltet nicht einmal einen Mechanismus zur Sicherstellung der Integrität der Nachricht. Zudem enthalten die Standards einige Formulierungen, die Programmierern an bestimmten Stellen der Entschlüsselungsroutine im Mail-Client recht freie Hand lassen.

Grundsätzlich funktioniert S/MIME und OpenPGP auf Basis von asymmetrischer Kryptographie. Der Inhalt der Mails wird allerdings symmetrisch mit einem Sitzungsschlüssel und AES chiffriert. Die öffentlichen Schlüssel werden nur dazu verwendet, den Sitzungsschlüssel zu sichern. Beim Empfang einer Mail wird also zuerst der private Schlüssel entsperrt und damit der Sitzungsschlüssel aus der Mail extrahiert. Mit Hilfe dieses Sitzungsschlüssels wird der Inhalt der Mail wiederhergestellt und z.B. als HTML-Mail identifiziert. Diese stellt der Mail-Client dann entsprechend dar.

Unter geschickter Manipulation des Cipher Block Chaining Modes (CBC) bei S/MIME und dem Cipher Feedback Mode (CFB) bei OpenPGP lässt sich diese symmetrische Verschlüsselung angreifen. Letztendlich ist es dann aber die Darstellung durch den Mail-Client, die dafür sorgt, dass die entschlüsselten Daten exfiltriert werden.

Entschlüssele das für mich, bitte

Um die Exfiltration zu erreichen, benutzt der Angreifer sein Opfer in gewisser Weise als Entschlüsselungsorakel. Dafür muss er Zugriff auf verschlüsselte Mails seines Opfers haben und sie entsprechend manipulieren, bevor er sie an das Opfer weiterleitet. Diese Manipulation geschieht, indem bekannte Klartextfetzen – im Header eine Mail nicht eben selten – dazu verwendet werden, gezielt Blöcke mit Inhalt in den verschlüsselten Text einzufügen.

Wer mit den beiden Betriebsarten CBC und CFB vertraut ist, wird sich jetzt erinnern, dass eine solche Injizierung im schlimmsten Fall den gesamten Entschlüsselungsvorgang zu Fall bringt. Ein geschickter Angreifer manipulisert allerdings so, dass die Entschlüsselung weiterhin funktioniert. Er kann jedoch nicht verhindern, dass seltsame Zeichenblöcke im Klartext auftauchen. Das würde einem Leser der Mail natürlich auffallen. Hierbei behelfen sich die Forscher einem der oben genannten Features der Mail-Clients: HTML. Die verräterischen Zeichenblöcke werden einfach mit Hilfe von HTML-Tags unsichtbar gemacht.

Viel Lärm um … doch einiges

Im Erfolgsfall ist es zu diesem Zeitpunkt allerdings ohnehin schon zu spät, denn auch die eigentliche Injektion dreht sich um Tags. Diese Manipulation hat zum Ziel, dass der Empfänger unabsichtlich den entschlüsselten Mailinhalt an einen externen, vom Angreifer kontrollierten Server verschickt. Dazu bietet sich ein <img>-Tag an, es funktionieren aber auch andere CSS, JavaScript oder HTML-Tags. (Das Paper von Poddebniak et al. enthält im Anhang eine Auflistung mit funktionierenden Tags und verwundbaren Mail-Clients.)

Das Tag wird im simpelsten Fall so gesetzt, dass der gesamte entschlüsselte Mail-Inhalt als Link zu dem vorbereiteten Server interpretiert wird. Verwundbare Mail-Clients versuchen in der Folge automatisch, das durch das <img>-Tag angekündigte Bild nachzuladen und kontaktieren den vorbereiteten Server des Angreifers mit der überlangen Adresse. Der gewünschte Klartext lässt sich dann vom Angreifer bequem aus seinen Web-Server-Logs auslesen. Im besten Fall hat das Opfer nicht einmal gemerkt, dass ihm gerade Daten verloren gegangen sind.

Was tun?

Die Gegenmaßnahmen sind grundsätzlich ganz gut umsetzbar:

  • automatisches Entschlüsseln von Mails durch den Client deaktivieren
  • manuelle Entschlüsselung der Mails mit einem externen Tool (z.B. GnuPG)
  • automatisches Nachladen von Inhalten durch den Client deaktivieren
  • Patches der betroffenen Mail-Clients installieren, sobald sie verfügbar sind
  • im besten Fall gleich alle Mails ausschließlich im reinen Textmodus anzeigen lassen

Auch korrekt konfigurierte Mail-Gateways, wie sie in großen Unternehmen häufig eingesetzt werden, um die Verschlüsselung von den Clients an eine zentrale Stelle zu ziehen, können schützen. Allerdings haben die Forscher Mail-Gateways nach eigener Aussage nur unvollständig getestet.

Langfristig gesehen hilft wohl aber nur, die Standards von S/MIME und OpenPGP sowie die Interpretation durch klassische Mail-Clients grundlegend zu überarbeiten. Auch wenn das wohl das Unbequemste von allem ist: Daran führt kein Weg vorbei.

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer