Verschlüsseln Sie E-Mails vor dem Senden und halten sie für sicher? Nun, denken Sie noch einmal nach! Wir möchten Sie zwar nicht erschrecken, aber eine neue Schwachstelle namens EFail hat aufgedeckt, dass sie es nicht sind! Das haben Forscher der Fachhochschule Münster herausgefunden. Nun, Sie fragen sich vielleicht, wie das überhaupt möglich ist. Wenn Sie jedoch OpenPGP oder S/MIME für die E-Mail-Verschlüsselung verwenden, empfehlen wir Ihnen, schnell Alternativen für eine sichere Ende-zu-Ende-Kommunikation zu finden. Sebastian Schinzel, Mitautor der neuen Studie, hat mitgeteilt, dass verschlüsselte E-Mails nicht mehr sicher sind. Um mehr darüber zu erfahren, lesen Sie weiter.
EFAIL ist die Bezeichnung für eine Schwachstelle, die den Klartext einer verschlüsselten E-Mail durchsickert. Einfach ausgedrückt bricht dies die Verschlüsselungsschicht, die auf Ihre E-Mails gelegt wurde. Da „EFAIL aktive Inhalte von HTML-E-Mails missbraucht“, sind wir nicht mehr an der Macht.
Um diesen Angriff erfolgreich zu machen, muss der Hacker die modifizierte verschlüsselte E-Mail an das Opfer senden. Diese mehrteilige E-Mail-Nachricht besteht aus drei Teilen:
Jetzt verarbeitet der E-Mail-Client des Opfers die E-Mail und entschlüsselt den zweiten Teil des Körpers. Darüber hinaus kombiniert es drei Teile in einer HTML-E-Mail. Dadurch wird die Mail schließlich entschlüsselt und an den Angreifer gesendet.
Lesen Sie auch: 7 Schritte zum Sichern Ihrer Daten über ein drahtloses Netzwerk
Laienhaft ausgedrückt erhält der Angreifer Ihre E-Mail verschlüsselt. Er zwickt die Mail und schickt sie an das Opfer. Nun entschlüsselt der vom Opfer verwendete Client (Firefox, Outlook usw.) diese und übermittelt den Klartext an den Hacker.
Vince Lombardo hat jedoch mitgeteilt, dass „dieser Angriff ein hohes Maß an Zugang zum Opfer“ erfordert Computer." Wenn Hacker so viel Zugriff auf Ihr System haben, sollten Sie Ihre E-Mails nicht sichern not Priorität.
Da wir alle PGP für die Kommunikation verwenden, sind unsere E-Mails gefährdet! Einige mögen empfehlen, dass das Deaktivieren von HTML mehr als ausreichend ist. Zweifellos missbraucht EFAIL HTML und das Deaktivieren wird am einfachsten geschlossen. Aber auf Dauer keine optimale Lösung. Das Verwerfen von HTML-E-Mails bringt nichts. Sie fragen warum? Denn in PGP versenden Sie verschlüsselte E-Mails, die jedoch nur für Sender und Empfänger verschlüsselt sind. Es spielt keine Rolle, ob die Nachricht von einer anderen Person durchgesickert ist, mit der Sie absichtlich oder unabsichtlich kommuniziert haben.
Was ist zu tun, um geschützt zu bleiben?
Es gibt einige Strategien, mit denen Sie die E-Mail-Kommunikation sichern können. Sie wurden in drei Kategorien unterteilt, lassen Sie uns sie aufschlüsseln, damit Sie sie leicht verstehen können!
Keine Entschlüsselung im E-Mail-Client soll die beste Option sein, wenn Sie kurzfristig nach Lösungen suchen. Sie können damit beginnen, private S/MIME- und PGP-Schlüssel von E-Mail-Clients zu entfernen, um verschlüsselte E-Mails zu senden. Für die Entschlüsselung müssen Sie eine separate Anwendung verwenden, die in der Lage ist, Klartext aus verschlüsseltem Text zu erzeugen. Das einzige Problem dabei ist, dass Sie immer involviert sein müssen und es daher nicht machbar ist.
Eine Alternative, für die Sie sich entscheiden können, ist das Patchen. Einige Anbieter haben einige Patches entwickelt, die es den Angreifern erschweren, EFail zu implementieren. Aber das wird nicht ewig so weitergehen und irgendwann werden die Angreifer auch einen Weg finden, durch die Patches zu kommen.
Muss lesen: So bleiben Sie online geschützt
Die Standards müssen aktualisiert werden. Es gibt keine Möglichkeit, nahtlos fortzufahren, nachdem wir davon erfahren haben. Diese Fehler sind tief in das Verhalten von PGP und S/MIME eingebettet und müssen daher von Experten permanent behoben werden.
Bis es eine dauerhafte Lösung gibt, können wir die vorgegebenen Strategien anwenden. Was denkst du?