Krypto-Forscher aus Deutschland und Belgien (FH Münster, Uni Bochum und KU Löwen) haben es geschafft die weltweit gängigsten Verschlüsselungen von E-Mails S/Mime und PGP zu umgehen, wie das Redaktionsnetzwerk Deutschland berichtet. Zuvor war PGP laut älterer Whistleblower-Leaks selbst von der NSA nicht zu knacken.
Die Forscher haben zwei Angriffsmöglichkeiten herausgefunden.
Zur ersten veröffentlichten Angriffsmöglichkeit:
Die Schwachstelle liegt nach Erkenntnissen der Forscher in E-Mail-Programmen, welche HTML erlauben.
Die zweite Bedingung ist, dass der Angreifer den Chiffretext (Text in verschlüsselter Form) der zu entschlüsselnden Mail besitzt.
Der Chiffretext wird vom Angreifer in einem anderen Block der Mail, als dem eigentlichen Textblock versteckt und als http-Link getarnt. Das Mailprogramm meint dann, es handele sich um ein von einer externen Website nachzuladendes Element, wie zum Beispiel einem Firmenlogo. Es wird folgend der Chiffretext erkannt und mit dem entsprechenden Schlüssel oder Schlüsselpaar, den sowohl Empfänger, als auch Absender besitzen, entschlüsselt. Der somit lesbare Mailtext wird danach per ebenfalls hinterlegtem Befehl an den Angreifer weitergesendet.
Experten sehen jedoch in absehbarer Zeit keine Lösung des Problems. Einzig das softwareinterne Verbot von HTML-Code unterbindet den Angriff.