Einem Team von Forschern bestehend aus Mitgliedern der FH Münster, der Ruhr-Universität Bochum und der KU Löwen in Belgien ist es kürzlich gelungen, die verbreitetsten eMail Verschlüsselungsverfahren, PGP und S/Mime, zu “knacken”, wobei, das stimmt nur bedingt, denn die Verschlüsselung selbst ist noch immer genau so sicher sicher wie bisher und gilt auch seitens Geheimdiensten wie z.B. der amerikanischen NSA derzeit als praktisch unknackbar, jedoch haben sie einen Weg gefunden, derart verschlüsselte eMails quasi auf Umwegen zu “entschlüsseln”.
Bei der unter der Bezeichnung “Efail” bekannt gewordenen Methode wird der verschlüsselte Text der eMail allerdings nicht von den Angreifern selbst entschlüsselt, sondern genau so wie gedacht von dem eMail-Programm des eigentlichen Empfängers. Der “Trick” dabei ist, dass dem Angreifer eine Kopie des verschlüsselten Textes vorliegen muss (was z.B. über ein unsicheres WLAN oder ähnliches durchaus möglich wäre), welchen er dann in einer unverfänglichen eMail an den ursprünglichen Empfänger versteckt, dessen eMail Programm erkennt dann die Verschlüsselung und entschlüsselt den Text automatisch. Dies geschieht dabei für den Empfänger unsichtbar und der Text wird dann (entschlüsselt) via HTML (z.B. in einem Link als GET-Parameter versteckt) an den Angreifer übermittelt.
So kritisch wie aktuell in den Medien teils behauptet ist diese “Lücke” allerdings gar nicht, vieles ist dabei imho nur unnötige Panikmache, wer wirklich auf die Sicherheit seiner eMails bedacht ist, der wird sich diese sowieso nur als Plaintext anzeigen lassen und HTML (und erst recht JavaScript) in seinem eMail-Programm deaktiviert haben bzw dies nur bei Bedarf bei sicher vertrauenswürdigen Absendern einschalten, und ohne aktiviertes HTML wird ein solcher Angriff nicht nur ins Leere verlaufen, sondern es wird dem Empfänger auch sofort auffallen, so dass er weitere Maßnahmen ergreifen kann.
Solltet ihr also verschlüsselte eMails versenden / empfangen, dann achtet einfach darauf, dass HTML / JS in eurem eMail-Client deaktiviert ist (und natürlich sowohl der Client selbst, als auch das Verschlüsselungs-Plugin, immer auf dem aktuellsten Stand sind) und schon seid ihr auf der sicheren Seite, es gibt keinen Grund deshalb in Panik zu verfallen oder, wie teils geraten wird, vorerst sogar komplett auf verschlüsselte eMails zu verzichten. Wenn ihr noch sicherer sein wollt, dann benutzt einfach gar kein Plugin für den eMail-Client, sondern entschlüsselt die Nachrichten immer selbst mit einem externen Tool wie zum Beispiel Portable PGP oder ähnlichen.