OpenPGP Signaturen lassen sich fälschen

Bild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

OpenPGP Signaturen sollen zur zuverlässigen Verifizierung des Absenders einer E-Mails betragen. Nachdem kürzlich die Sicherheit von Mail-Verschlüsselungsverfahren im Allgemeinen in Zweifel gezogen wurden (siehe: S/MIME und PGP – E-Mail Verschlüsselung anfällig) kam nun heraus, dass sich auch die Signaturen zumindest optisch fälschen lassen

Das Problem liegt auch hier wieder in der Verfügbarkeit von HTML und CSS, wodurch sich die optische Darstellung einer gültigen Signatur in viele E-Mail Clients nachbauen lässt und so den Eindruck einer gültigen E-Mail Signatur erwecken kann. Ausführlicher lässt sich das bei Golem nachlesen.

Letztlich handelt es sich dabei natürlich nur um optische Täuschungen, ähnlich wie bei Phishing-Mails. Trotzdem sollte man das Problem nicht gleich von der Hand weisen, da eine oberflächliche optische Täuschung im hektischen Kommunikationsalltag oftmals ausreicht.

Das Problem lässt sich wohl auch kaum grundsätzlich lösen. Die E-Mail ist konzeptionell nicht für die Erfordernisse unserer Zeit gemacht und die Dezentralität des Protokolls verhindert eine sinnvolle Weiterentwicklung. Erweiterungen für mehr Sicherheit wie die Ende-zu-Ende Verschlüsselung mittels S/MIME oder OpenPGP, die Formatierung mittels HTML, eine wirkungsvolle Transportverschlüsselung etc. pp. sind lediglich optionale Zusätze, die jeder Client individuell umsetzen muss. Dies verhindert eine konsistente Durchsetzung von mehr Sicherheit im Kommunikationsablauf.

Die E-Mail wird nicht verschwinden, dafür ist sie zu fest etabliert und in die Kommunikationsabläufe von Privatpersonen und Firmen eingebunden. Wirklich sicher wird das Verfahren aber nie werden. Verglichen mit der Briefpost ist dies auch kein wesentlicher Nachteil. Auch diese konnte schließlich jeder auf dem langen Transportweg öffnen und verloren gegangen ist da auch immer mal wieder etwas. Wer sicher kommunizieren will sollte auf einen modernen Messenger wie beispielsweise Signal ausweichen, alles andere sind nur behelfsmäßige Lösungen für ein strukturell unsicheres System (siehe auch: Sichere Messenger – Verschlüsselung und Metadaten).


Bilder:
Einleitungs- und Beitragsbild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Mehr aus dem Blog

Fedora Silverblue – Toolbox für grafische Anwendungen

Unveränderbare Linux-Systeme wie Fedora Silverblue nutzen als Standard Flatpak für Anwendungsinstallationen. Doch noch liegen nicht alle Anwendungen als Flatpak vor. Diese können dann entweder...

Fedora Silverblue im Praxistest

Ich liebe LTS-Distributionen, aber diese bewahren einen leider nicht vor defekten SSDs im Notebook. Da ich keine Vollsicherung der Systeme mache, sondern nur Datenbackups...

Neues Design bei Mozilla Thunderbird

Die Entwickler von Mozilla Thunderbird wagen sich an eine Modernisierung des überkommenen Designs. Dabei zeigen sich die alten Probleme der Open Source Entwicklung. Mangels...

systemd und TPM – Die Reise geht weiter

Auf der diesjährigen FOSDEM kündigte Lennart Poettering die Weiterentwicklung der TPM-basierten Sicherheitsfunktionen in systemd an. Die Vision eines neuen Linux nimmt immer mehr Gestalt...