Antwort auf die Schlüsselfalle

Bernd Wurst bernd at bwurst.org
So Mär 1 10:36:52 UTC 2015 

Hallo.

Am 28.02.2015 um 21:55 schrieb Volker Grabsch:
> Konkret sollte es PFS (Perfect Forward Secrecy) auf den folgenden 3
> Kanälen geben:
> 
> * SMTP
> * IMAP/POP (bei lokalen Mailclient)
> * HTTP (bei Webmail)
> 
> Das schöne: All diese Protokolle wurden schon vor Urzeiten um TLS
> (früher SSL) erweitert.

Nein, es reicht nicht, diese Kanäle abzusichern.

SMTP ist ein store-and-forward-Protokoll. Zuerst auf dem Server des
Absenders, dann auf dem Server den Empfängers und möglicherweise bei
Weiterleitungen auch noch zwischendurch wird die E-Mail abgespeichert
und ist da von dieser PFS-Kette nicht geschützt.

Die Anforderung an PFS sollte doch sein, dass eine unterwegs
abgegriffene Nachricht nicht nachträglich entschlüsselt werden kann,
auch wenn man später einmal den passenden Private-Key in die Finger bekommt.

TLS schützt nur die Übertragung von einem Server zum anderen, auf Layer
3. Auf dem jeweiligen Server beim zwischenlagern ist die Mail ungeschützt.

Man müsste also PFS nochmals auf Layer 5 aufwärts einbauen.

Spontan zwei Angriffsvektoren:
1. Durchsuchungs-/TKÜ-Beschluss für den Mailserver eines der Beteiligten
(beide speichern die Mail in ihrer Queue)

2. Einschleusen eines weiterleitenden Mailservers mittels eines
gefälschten MX-records, so dass der Absender-Server auf einen Dritten
Server umleitet, der dann korrekt weiter leitet aber die Mail
zwischendrin mitschneidet.
Da in der Praxis TLS-Zertifikate nicht geprüft werden, wird ein solcher
Angriff durch TLS nicht erschwert.


> Die Forderung nach PFS für E-Mail ist also eine Forderung an die
> Administratoren der beteiligen E-Mail- und Webmail-Server.

Das reicht nicht aus, s.o.


> Als Endnutzer kann man das leider nur bei IMAP/POP und HTTP erzwingen.
> Das hat aber genau gar nichts mit GPG zu tun.  Auf dem SMTP-Weg muss
> man da leider seinen Administratoren vertrauen.  Das liegt einfach an
> der grundsätzlichen Tatsache, dass E-Mail auch dann funktionieren
> soll, wenn beide Teilnehmer nicht gleichzeitig online sind.

Um einen neuen, zusätzlichen PFS-Schutz dazu zu bauen bräuchte es in der
Tat ein Verfahren bei dem sozusagen ein Diffie-Hellman asynchron gemacht
wird. nicht gänzlich undenkbar aber momentan kenne ich kein vorhandenes
System das dies leiten kann.

Gruß,
Bernd


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20150301/12860b01/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de