Google, Microsoft und Yahoo beseitigen Sicherheitslücke in ihren E-Mail-Systemen

Ein Risiko stellt die in der DomainKeys Identified Mail genannten Technik zur Signierung von E-Mails. Dort wurden RSA-Schlüssel mit einer Länge von weniger als 1024 Bit verwendet – angesichts der heute verfügbaren Rechenower zu wenig. Bei Ebay und PayPal sind allerdings die “kurzen” Schlüssel noch im Einsatz.

von Stefan Beiersmann 0


Google, Microsoft und Yahoo haben eine Schwachstelle in ihren E-Mail-Systemen beseitigt. Der Fehler steckte nach Angaben des US-CERT in dem DKIM (DomainKeys Identified Mail) genannten Mechanismus zur Signierung von E-Mails. Dadurch war es möglich vorzutäuschen, dass eine Nachricht mit den E-Mail-Systemen der drei Firmen verschickt wurde.

Das Problem war, dass die drei Anbieter DKIM-Schlüssel mit einer Länge von weniger als 1024 Bit verwendet haben. Selbst RSA-Schlüssel mit 1024 Bit werden von einigen heute als unsicher angesehen, weil es mithilfe der über Cloud-Computing zur Verfügung stehenden Rechenleistung relativ einfach ist, sie mittel eines Brute-Force-Angriffs zu knacken.

Als erstes hatte der Mathematiker Zachary Harris von der Schwachstelle berichtet. Er hatte eine E-Mail erhalten, die angeblich von einem Headhunter bei Google stammen sollte. Der Kopf der Nachricht, der belegen soll, wer der Absender ist, schien nicht manipuliert zu sein. Harris jedoch bemerkte den verwendeten schwachen DKIM-Schlüssel.

Wie Wired berichtet, knackte Harris den Schlüssel. Anschließend wandte er sich per E-Mail an die Google-Gründer Larry Page und Sergey Brin, weil er hinter der E-Mail einen raffinierten Einstellungstest vermutete. Er erhielt jedoch keine Antwort. Stattdessen stellte er fest, dass Google in der Folgezeit Schlüssel mit einer Länge von 2048 Bit einführte.

Harris zufolge sind auch andere Unternehmen betroffen. Ebay und Twitter setzen ihm zufolge Schlüssel mit einer Länge von 512 Bit ein. Bei Finanzdienstleistern wie PayPal und HSBC seien es 768-Bit-Schlüssel.

In ihrer Sicherheitsmeldung rät das US-CERT, alle RSA-Schlüssel mit einer Länge von weniger als 1024 Bit zu ersetzen und die kürzeren Schlüssel weder in Testumgebungen noch in produktiven Systemen zu erlauben. Microsoft verteilt seit Anfang des Monats einen Patch per Windows Update, der die für Windows-Zertifikate benötige RSA-Schlüssellänge auf mindestens 1024 Bit erhöht, um die Sicherheit von Zertifikaten zu verstärken.

[mit Material von David Meyer, ZDNet.com]

ITespresso für mobile Geräte
Android-App Google Currents App for iOS

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Letzter Kommentar




0 Antworten zu Google, Microsoft und Yahoo beseitigen Sicherheitslücke in ihren E-Mail-Systemen

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>