OpenPGP Signaturen lassen sich fälschen

Bild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

OpenPGP Signaturen sollen zur zuverlässigen Verifizierung des Absenders einer E-Mails betragen. Nachdem kürzlich die Sicherheit von Mail-Verschlüsselungsverfahren im Allgemeinen in Zweifel gezogen wurden (siehe: S/MIME und PGP – E-Mail Verschlüsselung anfällig) kam nun heraus, dass sich auch die Signaturen zumindest optisch fälschen lassen

Das Problem liegt auch hier wieder in der Verfügbarkeit von HTML und CSS, wodurch sich die optische Darstellung einer gültigen Signatur in viele E-Mail Clients nachbauen lässt und so den Eindruck einer gültigen E-Mail Signatur erwecken kann. Ausführlicher lässt sich das bei Golem nachlesen.

Letztlich handelt es sich dabei natürlich nur um optische Täuschungen, ähnlich wie bei Phishing-Mails. Trotzdem sollte man das Problem nicht gleich von der Hand weisen, da eine oberflächliche optische Täuschung im hektischen Kommunikationsalltag oftmals ausreicht.

Das Problem lässt sich wohl auch kaum grundsätzlich lösen. Die E-Mail ist konzeptionell nicht für die Erfordernisse unserer Zeit gemacht und die Dezentralität des Protokolls verhindert eine sinnvolle Weiterentwicklung. Erweiterungen für mehr Sicherheit wie die Ende-zu-Ende Verschlüsselung mittels S/MIME oder OpenPGP, die Formatierung mittels HTML, eine wirkungsvolle Transportverschlüsselung etc. pp. sind lediglich optionale Zusätze, die jeder Client individuell umsetzen muss. Dies verhindert eine konsistente Durchsetzung von mehr Sicherheit im Kommunikationsablauf.

Die E-Mail wird nicht verschwinden, dafür ist sie zu fest etabliert und in die Kommunikationsabläufe von Privatpersonen und Firmen eingebunden. Wirklich sicher wird das Verfahren aber nie werden. Verglichen mit der Briefpost ist dies auch kein wesentlicher Nachteil. Auch diese konnte schließlich jeder auf dem langen Transportweg öffnen und verloren gegangen ist da auch immer mal wieder etwas. Wer sicher kommunizieren will sollte auf einen modernen Messenger wie beispielsweise Signal ausweichen, alles andere sind nur behelfsmäßige Lösungen für ein strukturell unsicheres System (siehe auch: Sichere Messenger – Verschlüsselung und Metadaten).


Bilder:
Einleitungs- und Beitragsbild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...