Neue Sicherheitslücke: Einbruch in verschlüsselte E-Mails
Nein, diesmal geht es, anders als bei Meltdown und Spectre, nicht um die Hardware. Zwei Software-Algorithmen, einer für die Sicherheit, der andere für die Bequemlichkeit, können so gegeneinander ausgespielt werden, dass am Ende die Sicherheit verliert.
Entdeckt hat die Sicherheitslücke eine Gruppe um den Computerwissenschaftler Sebastian Schinzel am Standort Steinfurt der Fachhochschule Münster (Westfalen) zusammen mit Kollegen von der Ruhr-Universität Bochum und der Katholischen Universität Löwen (Belgien). Zurzeit, wenige Tage nach der Veröffentlichung am 13. Mai 2018, ist die Tragweite des Problems, das den Namen »Efail« erhalten hat, noch umstritten.
Problem unbekannter Tragweite
Wie funktioniert der Angriff? Eine E-Mail, die mit einem der gängigen Verfahren S/MIME (»Secure / Multipurpose Internet Mail Extension») oder PGP (»Pretty Good Privacy«) verschlüsselt ist, darf nach gegenwärtigen Wissensstand getrost als nicht knackbar angesehen werden. Der Einzige, der sie lesen kann, ist der legitime Empfänger. Dahinter steckt das Prinzip der Kryptografie mit veröffentlichtem Schlüssel (public-key cryptography): Der Empfänger veröffentlicht einen Schlüssel, der auf irgendeine Nachricht angewandt dieselbe in ein unlesbares Kauderwelsch verwandelt.
Nur der dazu passende geheime Schlüssel macht daraus wieder den Klartext. (Das tatsächlich praktizierte Verfahren ist etwas komplizierter: Der Absender verschlüsselt nicht direkt mit dem öffentlichen Schlüssel des Empfängers, sondern errechnet aus diesem plus einigem Zusatzmaterial den eigentlichen Schlüssel, den er auf den Klartext anwendet. Für den hier beschriebenen Angriff ist diese zusätzliche Stufe aber ohne Belang.)
Die Verschlüsselung umgangen
Da die Nachricht den gesamten Weg vom Computer des Absenders bis zu dem des Empfängers (»end-to-end«) in verschlüsselter Form zurücklegt, können irgendwelche Bösewichter sie zwar abhören und auch mitschreiben, haben aber zunächst nichts davon. Bei dem neuen Angriff versucht sich der Bösewicht gar nicht erst selbst an der Entschlüsselung; das wäre aussichtslos. Vielmehr lässt er den Empfänger die Arbeit machen – und verleitet ihn dann mit List und Tücke dazu, den soeben gewonnenen Klartext herauszurücken.
Wie veranlasst man den Empfänger zu solch selbstschädigendem Verhalten? Eigentlich soll er ja in diesem Moment nur empfangen; Senden ist nicht vorgesehen. Unter gewissen Umständen aber eben doch. Moderne E-Mail-Programme verstehen in einem gewissen Umfang die Sprache HTML, die allen Websites zu Grunde liegt. Insbesondere kann der Absender, statt ein Bild beizufügen, in die Mail die Anweisung einbauen: »Hol dir ein Bild von meiner Website www.xxx.« Das kann sinnvoll sein, wenn er den Empfänger über das Wetter, Börsenkurse oder Sonderangebote informieren will, und zwar nicht zum Zeitpunkt des Absendens, sondern ganz aktuell zum Zeitpunkt des Abrufs.
Datenschützern ist dieser »Backchannel« genannte Rückwärtskanal von Empfänger zu Sender seit jeher ein Dorn im Auge. Immerhin bekommt der Absender durch den Abruf des Bildes eine Lesebestätigung, ohne dass das dem Empfänger bewusst würde, und erfährt, welchen Client dieser benutzt. Die meisten E-Mail-Clients führen die Anweisung »Hol dir das Bild« aus, ohne bei ihrem Gebieter nachzufragen. Und einige sehr verbreitete Programme bieten ihm nicht einmal die Möglichkeit, das zu verbieten. Doch dieses Problem verblasst vor dem Unheil, das der Angreifer darüber hinaus anrichten kann.
Die Entdecker der Lücke haben die Hersteller der E-Mail-Clients vorinformiert – gelöst haben viele das Problem noch nicht
Was der Client des Empfängers über den Backchannel schickt, ist nämlich nichts weiter als eine Webadresse. Deren Inhaber kann daraufhin zwar das Bild herausrücken, muss sich darauf aber nicht beschränken. Der Bösewicht richtet es so ein, dass der Klartext, den er haben will, Bestandteil der Webadresse wird. Dann kopiert er ihn sich einfach aus der Adresse – und schickt dann das Bild, damit der Übertölpelte keinen Verdacht schöpft.
Schwachstelle Bilderversand
Dazu schickt der Bösewicht dem Opfer eine Mail mit einem durchaus üblichen Aufbau. (Das ist die Form, in der die Mail versendet wird und die der Client verarbeitet; in der Regel bekommt der Empfänger sie nicht zu sehen.) Erst eine Anweisung »Hol dir das Bild« mit einer Webadresse, die nach den HTML-Regeln in Gänsefüßchen eingeschlossen ist. Dann die Ansage »Es folgt verschlüsselter Text«, gefolgt von dem verschlüsselten Text einer »alten« E-Mail, die der Bösewicht zuvor mitgehört hat und im Klartext lesen möchte, und dann irgendwelche anderen Bestandteile.
Der Client entschlüsselt im ersten Schritt den verschlüsselten Teil und verarbeitet die nun vollständig im Klartext vorliegende E-Mail nach den Regeln von HTML. Der Bösewicht hat aber bei der Anweisung »Hol dir das Bild« heimtückisch das schließende Gänsefüßchen weggelassen. Das holt er erst in dem Teil nach, der dem verschlüsselten Text folgt. Also wird nach den Regeln von HTML der ganze in Gänsefüßchen eingeschlossene Text als Webadresse interpretiert und an Bösewichts Computer geschickt – Klartext inklusive.
Der Empfänger, der durch Öffnen der E-Mail die ganze Aktion ausgelöst hat, sieht davon nichts als eine harmlos wirkende E-Mail, und da deren sichtbarer Inhalt langweilig ist, löscht er sie vielleicht sofort. Und wenn der Klartext seinerseits ein Gänsefüßchen enthält? Dann bricht die Übermittlung an dieser Stelle ab. Aber HTML bietet Möglichkeiten, aus dem Folgetext eine neue Webseiten-Anforderung zu machen – mit etwas Geschick in ein und derselben E-Mail.
E-Mail-Hacken für Fortgeschrittene
Das war sozusagen E-Mail-Hacken für Anfänger. Es ist allerdings erstaunlich, wie viele Clients sich durch diesen relativ einfachen Trick übertölpeln lassen. Die fortgeschrittenen Versionen bewältigen auch E-Mails, die nicht nur teilweise, sondern von Anfang bis Ende verschlüsselt sind. Hier steht der Bösewicht vor dem Problem, die heimtückische Anweisung gleichfalls zu verschlüsseln – das ist nicht schwer, der öffentliche Schlüssel des Empfängers steht ja zur Verfügung.
Er muss ihn dann aber an der richtigen Stelle in den Strom der unverständlichen Zeichen einfügen, so dass nach der Entschlüsselung korrektes HTML dabei herauskommt. Hier muss der Bösewicht davon Gebrauch machen, dass Mails in der Versandform einen hochgradig standardisierten Aufbau haben: Sie beginnen mit Angaben über Sender, Empfänger und Art des Inhalts (»From: …, To: …, Content-Type: …«). Insoweit kennt also der Bösewicht den Klartext zum Chiffretext, nur ungefähr und natürlich nur zu einem uninteressanten, weil stets gleichen Teil; aber das genügt ihm, um den Chiffretext in seinem Sinn zu verfälschen.
Vielleicht kann er nicht bestimmen, an welche Adresse die Pseudobildanforderung geht. Dann muss er zusätzlich den gesamten vom Empfänger ausgehenden Datenverkehr abhören – nichts für den Amateur, aber für einen Geheimdienst kein Problem. Zusätzliche Probleme bereitet dem Bösewicht die Tatsache, dass manche Algorithmen den Klartext vor dem Verschlüsseln komprimieren und damit dessen Struktur schwer durchschaubar machen.
Darüber hinaus zerlegen Verschlüsselungsverfahren wie CBC und CFB den Klartext in zum Beispiel acht Byte lange Blöcke und wenden nicht nur eine geheime Zeichenfolge auf jeden Block an, sondern mischen auch noch die Daten aus dem Vorgänger- beziehungsweise Nachfolgerblock mit ein. Gegen beide Erschwernisse haben die Computerfachleute aus Steinfurt, Bochum und Löwen jedoch Abhilfe gefunden. Die Erfolgsrate sinkt dabei auf ein Drittel oder gelegentlich auch weniger; aber das heißt nur, dass der Bösewicht es öfter probieren muss – vielleicht über mehrere Tage verteilt, damit der Empfänger ob der zahlreichen merkwürdig inhaltslosen Mails keinen Verdacht schöpft.
Viele E-Mail-Programme sind unsicher
Mehrere Monate vor der Veröffentlichung haben die Entdecker die Hersteller der E-Mail-Clients und der Verschlüsselungsverfahren vorinformiert, um ihnen beizeiten Gelegenheit zur Abhilfe zu geben. So wie es im Moment aussieht, hat dafür die Zeit nicht ganz gereicht. In der ausführlichen Beschreibung des Problems findet sich eine Liste gängiger E-Mail-Clients, die Tabelleneinträge je nach Problemstatus mit den üblichen Ampelfarben unterlegt. Es ergibt sich ein bunter Flickenteppich mit erheblichem Rotanteil.
Was tun? Dem E-Mail-Client die Anwendung von HTML verbieten? Das hilft im Prinzip. Wenn aber eine Mail an mehrere Empfänger gegangen ist, genügt es für einen erfolgreichen Angriff, wenn nur einer von ihnen verwundbar ist. Die Empfehlung »keine verschlüsselten E-Mails mehr schreiben« ist schwerlich praktikabel für Enthüllungsjournalisten, Whistleblower und überhaupt alle, die fürchten müssen, dass ein Geheimdienst sein Auge auf sie geworfen hat. Wenn Sie Ihr Password bei einem Internethändler vergessen haben und ein neues anfordern, ist die Mail, die Ihnen das System des Händlers schickt, für jeden Bösewicht überaus interessant, kann er doch auf diesem Weg Ihre Identität annehmen.
Für den gewöhnlichen E-Mail-Schreiber besteht dagegen weniger Anlass zur Sorge. Immerhin muss der Angreifer die E-Mail, die er knacken will, mitgeschrieben haben, während sie übermittelt wurde – kein Problem für die NSA, wohl aber für einen eifersüchtigen Partner oder einen gewöhnlichen Kleinkriminellen. Und: Offengelegt wird nur die jeweils angegriffene E-Mail. Der Bösewicht erhält keine Kenntnis vom geheimen Teil des Schlüssels und ist daher bei der nächsten Mail so klug wie zuvor.
Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.