Deutschen Forschern ist gelungen, woran die NSA bisher gescheitert ist. Die asymmetrischen Verschlüsselungsverfahren PGP und S/Mime wurden geknackt. Bisher galten beide Verfahren als absolut sicher und werden vor allem zur Verschlüsselung brisanter E-Mails verwendet.

Dabei wird nicht ein Schlüssel-Code verwendet, sondern zwei. Ein Schlüssel ist öffentlich und wird vom Absender benutzt. Statt dem Text wird eine Datenwulst verschickt, ein Cyphertext. Der zweite Schlüssel ist privat, nur der Empfänger hat ihn (und hält ihn im Idealfall geheim), in E-Mail-Programmen kann man ihn automatisch hinterlegen. Nur mit diesem kann der Empfänger den Inhalt der Mail lesen. Hat er den Schlüssel nicht, sieht auch er nur den Cyphertext. Selbst der NSA-Aufdecker Edward Snowden hat auf dieses System vertraut.

Gleich zwei Angriffe möglich

Wie Süddeutsche Zeitung, NDR und WDR berichten, haben Forscher der FH Münster, der Ruhr-Universität Bochum und der KU Löwen gleich zwei Methoden gefunden, um die Verschlüsselung zu knacken. Diese Sicherheitslücken sind so massiv, dass sie das Vertrauen in bisherige Verschlüsselungstechnologien erschüttern werden.

Im ersten Fall nutzen die Angreifer eine Funktion von E-Mail-Programmen wie Outlook oder Thunderbird. Wird eine E-Mail im HTML-Format verschickt, zeigen diese Programme den Inhalt zuverlässig an. Dazu laden sie automatisiert Inhalte nach, die auf anderen Webseiten zu finden sind. Klassischerweise sind das Firmenlogos in Signaturen oder Bilder in Newslettern. Hat ein Angreifer den verschlüsselten Cyphertext, kann er ihn in einen HTML-Code umwandeln und einen Link verstecken. Der Text wird dann erneut an den Empfänger geschickt. Das Mailprogramm erkennt die Verschlüsselung und öffnet die Nachricht. Beim Laden des HTML wird dann der Link geöffnet und die Nachricht im Klartext an den Angreifer gesendet.

Der zweite Angriff ist etwas schwieriger. Er nutzt die einzige Information, die auch in dem verschlüsselten E-Mail öffentlich ist: Die Adresse des Empfängers. Diesen Teil können Angreifer so umschreiben, dass sie Zugang zum Inhalt der Mail erhalten.