Forskere afslører krypto-svagheder i mail: Både implementering og standarder får skylden

Illustration: Virrage Images/Bigstock
EFAIL er navnet på netop offentliggjorte angrebsteknikker, der gør det muligt for en angriber at suge klartekst ud af ellers krypterede mails.

En gruppe forskere har offentliggjort flere teknikker, der kan gøre det muligt for en angriber at læse indholdet af mails, der ellers er krypteret via OpenPGP og S/Mime-standarderne. Angrebsteknikkerne har fået betegnelsen EFAIL og er nærmere beskrevet på hjemmesiden efail.de

Tidligere i dag havde en af forskerne, professor ved Münster University of Applied Sciences Sebastian Schinzel, teaset, at angrebet først ville blive offentliggjort i morgen klokken 09.00 dansk tid. Dagen igennem har det dog svirret med rygter i lyset af annonceringen, der for sikkerhedsfolk da også kan lyde noget saftig.

OpenPGP og S/MIME bliver brugt til kryptering i et hav af sammenhænge.

Sebastian Schinzel begrunder - uden at gå i nærmere detaljer - på Twitter offentliggørelsen af EFAIL før tid med, at embargoen er brudt.

Noget af det, der er blevet diskuteret i forbindelse med EFAIL, er, hvorvidt angrebet kan lade sig gøre som følge af fejl i standarderne bag OpenPGP og S/MIME, eller om det er diverse mail-programmers fejlagtige implementering af standarderne, der er skurken.

Ifølge de otte forskere, der er krediteret for kortlægningen af angrebsteknikkerne, er det begge dele. Forskerne er i øvrigt fordelt på tre universiteter: Damian Poddebniak, Christian Dresen, Fabian Ising og Sebastian Schinzel fra Münster University of Applied Sciences. Jens Müller, Juraj Somorovsky og Jörg Schwenk fra Ruhr University Bochum og Simon Friedberger fra KU Leuven.

Forskerne har offentliggjort en rapport her, der beskriver det hele i tekniske detaljer.

Og så er der en mere letlæselig oversigt på siden efail.de, hvor der også er svar på, hvordan man kan sikre sig mod EFAIL.

Der er overordnet to angreb. Fælles for angrebene er, at angriberen på den ene eller den anden måde skal have adgang til de krypterede mails, som han eller hun vil læse indholdet af. Det kan eksempelvis ske, hvis angriberen kontrollerer en mailserver. Begge angrebsteknikker går ud på, at angriberen manipulerer med indholdet af mails med krypteret indhold. Når offeret dekrypterer indholdet, vil det blive sendt til angriberen i klartekst.

Et relativt simpelt angreb

Det ene angreb er mere ligetil end det andet.

Det simple af angrebene relaterer sig til sårbarheder i mailklienter. Rapporten nævner specifikt Apple Mail (macOS), Mail App (iOS), Thunderbird (Windows, macOS og Linux), Postbox (Windows) og MailMate (macOS).

Det er lykkedes forskerne at narre disse klienter til at lække indholdet at krypterede mails, fordi klienterne ikke isolerer MIME-dele af en mail, men viser dem i samme HTML-dokument. Det gør det muligt for en angriber at konstruere en mail med eksempelvis et HTML image-tag, som omslutter det krypterede indhold. Som flere vil vide, kan sådan et tag - alt efter opsætning - resultere i, at et billede bliver hentet fra en ekstern kilde; her en ondsindet server, som angriberen kontrollerer.

I et konkret angreb, forskerne beskriver, bliver det krypterede indhold omsluttet af et image-tag. Resultatet bliver, at det krypterede indhold bliver sendt i klartekst i en URL til angriberens server. Angrebet behøver ikke foregå via image-tagget, andet aktivt indhold kan også bruges, bemærker forskerne.

De nærmere detaljer er beskrevet i rapporten.

Ifølge rapporten bemærker forskerne, at mens Apple Mail og Mail App som standard henter eksternt indhold, så kræver de øvrige klienter - altså blandt andet Mozillas Thunderbird - brugerinteraktion, før det eksterne indhold bliver hentet, og angrebet kan føres ud i livet. Hvad bruger-interaktionen angår, så påpeger forskerne dog også i rapporten, at de via CSS kan ændre tilstrækkeligt på brugergrænsefladen i Thunderbird og Postbox til at narre brugeren til alligevel at sende indholdet af den krypterede mail i klartekst.

Den gode nyhed i forhold til ovenstående angreb er, at det kan fikses ved at patche mail-klienterne, bemærker forskerne.

Det andet angreb

Den anden angrebsituation er mere kompliceret at gennemføre, men også kompliceret at fikse.

Forskerne kalder dette angreb for et CBC/CFB Gadget-angreb. CBC er den algoritme, som S/MIME anvender, mens OpenPGP kører med CFB.

Begge algoritmer har ifølge forskerne de samme kryptografiske egenskaber og muliggør samme form for angreb mod henholdsvis OpenPGP og MIME/S.

CBC/CFB Gadget-angrebet går helt kort fortalt ud på, at angriberen kan skyde et image-tag ind i mails, såfremt en del af indholdet er kendt på forhånd. Og det kan det ifølge beskrivelsen efail.de sagtens være. Sitet nævner som eksempel, at S/MIME-krypterede mails som regel starter med 'Content-type: multipart/signed'. Og det indlejrede image-tag kan altså, som tidligere nævnt, gøre det muligt for uvedkommende at læse med i det krypterede indhold

S/MIME er mest sårbar overfor angrebet. Her skulle det være lykkedes forskerne i en test at knække indholdet af op til 500 S/MIME-krypterede mails ved at sende en enkelt særligt udformet mail til offeret.

Til sammenligning har forskerne kun haft held til at knække en ud af tre PGP-mails. Forklaringen er, at PGP komprimerer tekst før kryptering, og det gør det sværere at gætte, hvor kendt indhold befinder sig.

Ifølge forskerne er CBC/CFB Gadget-angrebet relateret til sårbarheder i specifikationerne bag OpenPGP og S/MIME. Og det er derfor nødvendigt at opdatere disse standarder for at lukke helt af for angrebsvinklen på den lange bane.

Beskyttelse

På den korte bane foreslår forskerne, at man helt undlader at dekryptere mails via sin mail-klient. I stedet bør man anvende en separat applikation udenfor mail-klienten.

En anden umiddelbar løsning, som forskerne lægger op til, er at slå understøttelse af HTML (og dermed rendering af image-tagget) fra i sin mail-klient.

På den lidt længere bane fortæller forskerne, at nogle leverandører vil frigive patches, der enten lukker ned for EFAIL-sårbarhederne eller gør dem langt sværere at udnytte.

Skal problemet løses på langt sigt, så skal MIME, S/MIME og OpenPGP-standarderne ifølge forskerne altså opdateres.

Matthew Daniel Green er adjunkt ved Johns Hopkins Information Security Institute og har forstand på kryptering. På Twitter giver han sit besyv med i forhold til EFAIL, som han kalder »extremely cool« og »kind of a masterpiece«.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
David Konrad

Jo, og man kan sige særligt ifb mailreadere der tillader HTML/script at hente/tilgå eksterne ressourcer.

Men sikkerhedsbristen er som jeg forstår det primært et Man-in-the-middle angreb. Det kræver at der sidder een der opsnapper din krypterede klartekst mail, wrapper indholdet ind i html og sender den videre. Når den krypterede mail er pakket ud kan indholdet så blive sendt tilbage til den ondsindede person/server.

Der er således ikke fundet en fejl der i sig selv kompromitterer HTML i emails eller kryptering af mails. Det kræver nogle helt særlige omstændigheder 1) en person / script der i forvejen kan opsnappe de mails du modtager 2) du bruger en særlig form for kryptering 3) du bruger nogle helt bestemte mailreadere / klienter.

Peter Makholm Blogger

Hvilken embargo ? I nævner en embargo, som der ikke følges op på !


Når man opdager sikkerhedshuller af denne kaliber er det normalt anset som god skik at man går til producenterne og præsentere dem for sikkerhedshullet og samtidigt sætter en deadline for hvornår man offentligt fortæller om problemet.

Forskerne havde meldt ud at de ville fortælle offentligt om problemet i dag klokken 9 dansk tid.

I går eftermiddags var der dog en producent der – provokeret at EFF's spin – valgte at offentliggøre hvad problemt bestod i. Det fik forskerne til at lægge deres version frem tidligere end først annonceret.

Peter Makholm Blogger

Jo, og man kan sige særligt ifb mailreadere der tillader HTML/script at hente/tilgå eksterne ressourcer


En af de interessante ting ved forskernes artikel er at de identificerer 40 kanaler der tillader at lække information selvom adgang til eksterne resurser er slået fra i mailreaderen.

De samme metoder kan også bruges til at implementere trackers i spam mails, og spændende nok har de faktisk undersøgt et stort korpus af spam for at se om nogle af disse metoder er udbredt ude i virkeligheden.

Men sikkerhedsbristen er som jeg forstår det primært et Man-in-the-middle angreb. Det kræver at der sidder een der opsnapper din krypterede klartekst mail


Begrebet "krypterede klartekst mail" virker underligt på mig. Men jo, angrebet kræver at der er en der opsnapper den krypterede mail. Men det kan eventuelt være fra en 2 år gammel backup hvis du har mails der er så gamle som du stadigvæk vil passe på.

David Konrad

Begrebet "krypterede klartekst mail" virker underligt på mig.

Ja, volapyk :( Mente det sendes som "plain text".

Men jo, angrebet kræver at der er en der opsnapper den krypterede mail. Men det kan eventuelt være fra en 2 år gammel backup hvis du har mails der er så gamle som du stadigvæk vil passe på.


Det forstår jeg ikke. Mailen skal vel i så fald stadig gensendes til den rigtige emailklient, så den rigtige PGP private key kan dekryptere?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder