Stellungnahme zur Sicherheitslücke Efail

15.05.2018

Unsere E-Mail-Verschlüsselungslösung totemomail® ist nicht von der Efail-Schwachstelle betroffen. Weitere Informationen erfahren Sie in unserer detaillierten Stellungnahme.

Am 14.05.2018 haben Forscher der Fachhochschule Münster, der Ruhr-Universität Bochum und der KU Leuven Informationen zu einer ‚Efail‘ genannten Sicherheitslücke veröffentlicht, mit der unter gewissen Umständen die E-Mail-Verschlüsselung mit OpenPGP und S/MIME einzelner Nachrichten angegriffen werden kann. Bei diesen Angriffen besteht zu keinem Zeitpunkt illegaler Zugriff auf das Schlüsselmaterial der Benutzer.

Hintergrund

Eine gute und ausführliche Beschreibung der Sicherheitslücke auf Deutsch finden Sie auf heise.de. Entgegen der Überschrift des von den Forschern veröffentlichten Papers wurden nicht die Verschlüsselungsstandards OpenPGP und S/MIME selbst geknackt, sondern lediglich zwei neue Angriffsszenarien auf verschiedene E-Mails gefunden, welche sich in der Praxis nur mit enormen Aufwand erfolgreich umsetzen lassen.

totemomail® nicht von Efail betroffen

Der Angriff zielt auf E-Mail-Clients ab, welche dem Benutzer den Inhalt der verschlüsselten E-Mail darstellen. Da totemomail® den Inhalt der verschlüsselten Nachrichten nicht verarbeitet, ist es von diesen Angriffen nicht betroffen.

Die Autoren um Prof. Schinzel haben in begrenztem Umfang auch Angriffe auf E-Mail-Sicherheitsgateways getestet, diese waren bei einem richtig konfigurierten Gateway nicht erfolgreich.

Wir konnten bei unseren Tests bisher keinen erfolgreichen Angriff durchführen, haben bei der FH Münster aber zusätzlich manipulierte Nachrichten angefragt, um dies weiter zu testen.

Angriffsvarianten von Efail

Im Folgenden erläutern wir Ihnen zwei Angriffsvarianten von Efail detailliert:

1. Bei der ersten und wesentlich einfacheren Variante zur Ausnutzung der Efail-Schwachstelle, wird die Struktur der E-Mail modifiziert. Kenntnisse über den Inhalt der E-Mail sind nicht erforderlich. Variante 1 betrifft nur gewisse E-Mail-Clients, wie z.B. AppleMail. Outlook hingegen ist nicht betroffen. In totemomail® ist bereits ein Schutz gegen diese Schwachstelle enthalten, so dass totemomail® Sie bei anfälligen Clients sogar vor dieser Variante eines Efail-Angriffs schützt.

2. Die zweite Variante ist komplexer und erfordert Wissen über gewisse Inhalte der verschlüsselten Nachricht. Ist dieses vorhanden, kann der verschlüsselte Inhalt manipuliert werden. Dabei gibt es Unterschiede abhängig vom verwendeten Verschlüsselungsstandard.

a) S/MIME: Der Grossteil aller S/MIME-verschlüsselten Nachrichten beginnt mit dem gleichen Inhalt, mit diesem Wissen kann man zusätzlichen Code einschleusen, der dafür sorgt, dass verschlüsselter Inhalt teilweise als Klartext extrahiert werden kann.

In den nächsten Tagen geben wir einen Hotfix heraus, der Angriffe auf von totemomail® erstellte, S/MIME-verschlüsselte Nachrichten verunmöglicht.

Bereits heute ist totemomail® in der Lage, Signaturen restriktiver zu handhaben, indem über die Rule Engine definiert wird, dass E-Mails mit inhaltlichen Veränderungen nicht ausgeliefert werden.

b) OpenPGP: Der gleiche Angriff ist bei OpenPGP etwas schwieriger auszuführen, da die Nachrichten zusätzlich komprimiert werden, bevor man verschlüsselt. Der Angreifer weiss daher nicht, welche Information an welcher Stelle in der E-Mail steht und muss oft viele Anläufe starten, bis der Angriff erfolgreich ist.

Der geplante Hotfix wird die Möglichkeit beinhalten, bei fehlendem oder fehlerhaften Einsatz von MDC, die Auslieferung der entsprechenden E-Mails zu verhindern.

Empfehlungen

Die E-Mail-Verschlüsselung mit OpenPGP und S/MIME komplett abzuschalten, halten wir für den falschen Weg. Wir teilen die Meinung des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI), das in seiner Pressemitteilung zu Efail schreibt: „Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.“

Um die Risiken einer Ausnutzung der Efail-Schwachstelle für Sie noch weiter zu minimieren, empfehlen wir zusätzlich folgende Massnahmen:

Kurzfristig:

  • Verhindern Sie die Darstellung von Nachrichten als HTML in allen E-Mail-Clients
  • Halten Sie E-Mail-Clients und Verschlüsselungs-Plug-ins jederzeit aktuell
  • Wählen Sie ein striktes Vorgehen für die Signaturvalidierung: Definieren Sie Massnahmen, die dann ausgeführt werden, wenn eine Inhaltsveränderung festgestellt werden sollte. Solche Massnahmen umfassen beispielsweise, die betroffene E-Mail nicht auszuliefern, oder den Empfänger über die Inhaltsveränderung zu informieren. Diese Massnahmen können Sie in der totemomail® Rule Engine in der Adminstrationskonsole definieren.
  • Prüfen Sie, ob MDC für OpenPGP eingesetzt wird: Sollte das nicht der Fall sein, können Sie ebenfalls entsprechende Massnahmen in der totemomail® Rule Engine definieren.

Langfristig:

Wir befürworten den Einsatz von Verschlüsselungs-Algorithmen, die prüfen, ob Teile des verschlüsselten Inhalts modifiziert wurden. Für S/MIME empfehlen wir ein Vorgehen gemäss RFC -5084, bei OpenPGP ist darauf zu achten, dass MDC (Modification Detection Code) eingesetzt wird (siehe RFC -4880). Diese Empfehlung ist langfristiger Natur, denn die Algorithmen müssen von allen Tools und Lösungen unterstützt werden, damit sie zum Erfolg führt.

Bei Fragen steht Ihnen unser Support gerne zur Verfügung.