Pressemitteilung von Georg Nestmann

"Forscher knacken E-Mail-Verschlüsselung" - Was ist dran an der aktuellen Medienmeldung?

---

---

Die comcrypto GmbH mit Sitz in Chemnitz entwickelt und realisiert Lösungen für vertrauliche digitale Kommunikation. Grundlage sind hauseigene, sicherheitstechnisch führende kryptografische Module. Auf deren Basis entwickelt und vertreibt comcrypto unter anderem Produkte für eine neuartige Ende-zu-Ende-Verschlüsselung per E-Mail.

Vorweg: Ausnahmslos alle Produkte der comcrypto GmbH sind absolut sicher! Sichere E-Mail-Kommunikation ist mit comcrypto jederzeit möglich.

Was wirklich los ist: Alle aktuell eingesetzten kryptografischen Algorithmen zur sicheren digitalen Kommunikation sind immer noch sicher. Die betroffenen Verfahren S/MIME und PGP sind grundlegend auch als sicher einzustufen, wenngleich beide nicht alle Probleme von E-Mail-Verschlüsselung lösen. Die aktuell gefunden Schwachstellen liegen in der Art und Weise, wie S/MIME- und PGP-verschlüsselte E-Mails in nahezu allen gängigen Anwendungen entschlüsselt und angezeigt werden. Ein Angreifer muss zunächst in den Besitz einer verschlüsselten Nachricht gelangen. Dann hat er die Möglichkeit, die Nachricht geschickt zu manipulieren, indem er aktive HTML-Inhalte zu den unverschlüsselten Teilen der E-Mail ("Verpackung") hinzufügt. Sendet er eine derart manipulierte E-Mail nun an den originalen Empfänger oder Absender der E-Mail, dann erkennt dessen E-Mail-Anwendung die originalen verschlüsselten Daten (welche nie angegriffen wurden) und wird diese entschlüsseln. Anschließend ersetzt die Anwendung die verschlüsselten Daten der E-Mail durch die nun lesbaren entschlüsselten Daten. Das durch die Manipulation hinzugefügte HTML bewirkt nun, dass diese lesbaren Daten an den Angreifer übertragen werden.

Weshalb comcrypto sicher ist: Unsere Technologie basiert darauf, gesicherte E-Mails als geschlossenen Container zu behandeln. Wir vermischen niemals die "Verpackung" einer sicheren E-Mail mit dem eigentlichen Inhalt. Anstelle des Ersetzens von Inhalten innerhalb der Verpackung erzeugen unsere Produkte auschließlich aus dem geschlossenen Container die vollständige entschlüsselte E-Mail. Wir entsorgen grundsätzlich jede Art von Verpackung und damit auch die von den Forschern gefundene Gefahrenquelle.

Expertenwissen: Es wurde noch ein weiteres Problem bei PGP und S/MIME gefunden, was den Betriebsmodus der Verschlüsselung betrifft (CBC/CFB). Wer hier mehr wissen möchte, kann sich unter http://www.efail.de einlesen. Comcrypto verwendet einen anderen Betriebsmodus (CTR) und ist deshalb auch davon nicht betroffen.

Weiterführende Informationen:
Mehr über die comcrypto E-Mail Verschlüsselungssoftware encurity (https://comcrypto.de/).
Aktuelle Neuigkeiten von Comcrypto auf Facebook (https://www.facebook.com/comcrypto/).
Der originale Artikel bei Tagesschau.de (https://www.tagesschau.de/inland/e-mail-verschluesselung-101.html). Firmen- & Pressekontakt