Sichere Mail-Verschlüsselung erfolgreich weiterentwickelt
26. August 2019Die „Mailvelope“-Software wurde durch Unterstützung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) weiterentwickelt. SEC Consult war im Rahmen des Projekts mit der Durchführung eines Sicherheitstests beauftragt. Dabei konnten diverse Schwachstellen identifiziert und daraufhin erfolgreich geschlossen werden.
Mailvelope ermöglicht es Anwendern, direkt im Browser E-Mails zu verschlüsseln, zu entschlüsseln oder zu signieren sowie eine Signaturprüfung auf E-Mails durchzuführen – ohne dass ein spezielles E-Mail-Programm benötigt wird. Zur Anwendung kommt der Verschlüsselungsstandard OpenPGP.
Die Zielsetzung des Projekts „Weiterentwicklung Mailvelope“ war insbesondere sowohl die deutlich nutzerfreundlichere Installation, Konfiguration und Anwendung von Ende-zu-Ende-Verschlüsselung, als auch die größere Verbreitung von Verschlüsselung beim E-Mail- und Formular-Austausch durch weitgehende Automatisierung. Zukünftig kann die Software auch genutzt werden, vertrauliche Anfragen, zum Beispiel an Ärzte oder Banken über Web-Formulare zu stellen.
Schwachstellen gefunden und ausgeräumt
Im laufenden Projekt haben die Experten von SEC Consult einen Sicherheitstest durchgeführt. Dabei wurden diverse Schwachstellen in den Vorversionen von Mailvelope und der Krypto-Bibliothek OpenPGP.js identifiziert. Beispielsweise beschreibt eine der gefundenen Schwachstellen die Durchführung einer „Invalid Curve Attack“, eines Angriffs auf die Implementierung Elliptischer-Kurven-Kryptografie. Unter bestimmten Umständen hätte diese Schwachstelle einem Angreifer erlauben können, private PGP-Schlüssel eines Opfers auszulesen und so beispielsweise verschlüsselte E-Mails mitzulesen.
Weitere Schwachstellen hätten unter speziellen Voraussetzungen einen Angreifer befähigt, Signaturen zu fälschen, dem Opfer manipuliertes Schlüsselmaterial unterzujubeln oder Einstellungen der Browser-Erweiterung zu manipulieren. SEC Consult konnte im Rahmen einer tiefgehenden Analyse diese und viele weitere Schwachstellen aufdecken und zur Sicherheit und Qualität des Open-Source Projekts maßgeblich beitragen.
„Mehr Verschlüsselung bedeutet mehr Privatsphäre in der Kommunikation“, gibt Arne Schönbohm, Präsident des BSI, zu Protokoll. „Dies sollte kein nice-to-have, sondern ein absolutes must-have sein. Unser Ziel als Cyber-Sicherheitsbehörde ist es deshalb, Verbraucherinnen und Verbrauchern einfach anwendbare Lösungen an die Hand zu geben, mit denen sie ihre Privatsphäre besser schützen können. Deshalb haben unsere Expertinnen und Experten Mailvelope erweitert. Jeder kann sich dieses Tool als Add-on für den Browser herunterladen und damit E-Mails und Online-Formulare weitgehend automatisiert verschlüsseln.“
Zu den Erweiterungen von Mailvelope gehören:
- Web-Formularinhalte können unabhängig vom Betreiber der Webseite bis zum Empfänger der Formulardaten Ende-Zu-Ende verschlüsselt übertragen werden,
- die verwendete Kryptographie-Bibliothek OpenPGP.js ist durch das BSI-Projekt erweitert worden, um Kompatibilität mit dem OpenPGP-Standard herzustellen,
- es kann eine lokale GnuPG-Installation eingebunden werden, sodass Nutzer auf Wunsch native Anwendungen (z.B. zur Schlüsselverwaltung) verwenden können und
- für den Nutzer kann ein möglichst transparentes Schlüsselaustauschverfahren etabliert werden: Verteilung des öffentlichen Schlüssels durch Web Key Directory (WKD) über HTTPS-Abfrage.
Ein konkretes Beispiel kann die Vorteile dieses Konzepts verdeutlichen: Ärztinnen und Ärzte bieten Online-Formulare als Alternative zu Anrufen an. In der Regel ist es dabei notwendig, auch persönliche und vertrauliche Informationen anzugeben und diese somit über das Internet zu versenden. Mit einem verschlüsselten Kontaktformular können die Patientendaten besser geschützt werden.
Der für die Verschlüsselung notwendige Austausch von öffentlichen Schlüsseln läuft dabei automatisiert ohne Nutzerinteraktion ab. Dazu müssen Anbieter von Kontaktformularen, in diesem Fall also die Arztpraxis, das Formular entsprechend konfigurieren. Anwenderinnen und Anwender müssen lediglich einmalig die Mailvelope-Anwendung installieren und konfigurieren. So wird Kommunikation im digitalen Alltag sicherer. (rhh)