Die EFAIL PGP-Schwachstelle hat keinen Einfluss auf den DMARC Analyzer

14. Mai 2018

Heute haben Nachrichtenquellen über eine Schwachstelle in verschlüsselten E-Mails mit OpenPGP und S/MIME veröffentlicht. Später am Morgen (europäische Zeit) veröffentlichte das IT-Sicherheitslabor der Fachhochschule Münster die Details dieser Schwachstelle, die als EFAIL bezeichnet wird.

Die offizielle Website von https://efail.de/ beschreibt den Kontext und die möglichen Gegenmaßnahmen.

Der DMARC Analyzer kann so eingerichtet werden, dass eingehende DMARC forensische Berichte mit PGP gespeichert und verschlüsselt werden. Letzteres wird nur durchgeführt, wenn ein Client den öffentlichen Teil seines PGP-Schlüsselpaares implementiert hat.

Keine Auswirkungen auf den DMARC Analyzer
Unser Team folgte EFAIL mit großer Aufmerksamkeit und untersuchte die möglichen Auswirkungen auf die DMARC Analyzer Software. Wir kamen zu dem Schluss, dass die gemeldeten Schwachstellen die PGP-Anwendung des DMARC Analyzer nicht betreffen.

Um von den EFAIL-Schwachstellen zu profitieren, muss ein Angreifer Zugriff auf die verschlüsselte Nachricht haben, um einen Angriff zu starten. Darüber hinaus dreht sich die EFAIL-Schwachstelle um das Rendern und Entschlüsseln von PGP-verschlüsselten Inhalten in einem Mail User Agent (MUA).
Dies gilt nicht für den DMARC Analyzer. Unsere Software bietet keine Funktionalität zur Entschlüsselung von renderverschlüsselten Inhalten (DMARC forensische Berichte).

Die DMARC Analyzer Software bietet verschlüsselte DMARC forensische Berichte als Download, geeignet für die lokale Entschlüsselung mit dem (kundeneigenen) privaten Schlüssel.
Da der Inhalt von DMARC forensischen Berichten potenziell schädlich sein kann, sollten diese verschlüsselten Nachrichten immer mit Vorsicht behandelt werden. Die EFAIL-Sicherheitslücken haben daran nichts geändert.

Empfehlungen
DMARC Analyzer führt die PGP-Verschlüsselung nur durch, wenn ein Kunde einen öffentlichen PGP-Schlüssel in unserer Appliance implementiert hat. Für Kunden, die diese Funktionalität nutzen, empfehlen wir, bei der Entschlüsselung von DMARC forensischen Berichten immer die folgenden Empfehlungen zu beachten:

  • Stellen Sie sicher, dass die standardmäßigen Sicherheits-Best Practices vorhanden sind (z.B. Betriebssystem aktualisieren, Virenscanner aktualisieren, (kaltes) Backup, Zwei-Faktor-Authentifizierung und Passwort-Manager verwenden).
  • Speichern Sie Schlüsselpaare und Passphrasen in einer verschlüsselten Umgebung, wie beispielsweise einem Passwortmanager oder einem anderen verschlüsselten Bereich. Verhindern Sie die Verwendung von Textdateien zum Speichern von Schlüsselpaaren und Passwörtern.
  • Verschlüsseln Sie PGP-Inhalte mit der bewährten eigenständigen Entschlüsselungssoftware. Wir haben lokale Tools wie GPG4WIN (Windows) oder GPG Suite (OS X) getestet. Wir bevorzugen lokale (Open Source) Tools gegenüber webbasierten Lösungen.
  • Rendern Sie kein HTML, insbesondere nicht mit einer MUA. Verwenden Sie stattdessen einen Texteditor, um den Inhalt von DMARC forensischen Berichten zu analysieren.
  • Falls weitere Recherchen gewünscht werden, z.B. um Phishing-Websites aufzudecken, verwenden Sie eine Sandbox-Umgebung. Dadurch werden die Auswirkungen von Phishing-Angriffen auf Malware abgeschwächt.