OpenPGP/GnuPG: Signaturen fälschen mit HTML und Bildern

PGP-Signaturen sollen gewährleisten, dass eine E-Mail tatsächlich vom korrekten Absender kommt. Mit einem simplen Trick kann man bei vielen Mailclients scheinbar signierte Nachrichten erstellen – indem man die entsprechende Anzeige mittels HTML fälscht.

Artikel von veröffentlicht am
Unterschriften fälschen - das geht auch digital bei OpenPGP-Signaturen.
Unterschriften fälschen - das geht auch digital bei OpenPGP-Signaturen. (Bild: Dreamstime/CC0 1.0)

Neben der Verschlüsselung von Mails kann man mit dem OpenPGP-Standard und GnuPG E-Mails auch digital signieren. Damit soll gewährleistet werden, dass Mails vom korrekten Absender kommen und nicht gefälscht werden können. Doch zahlreiche Mailprogramme und Plugins weisen eine erstaunlich triviale Schwäche auf: Die Anzeige, dass eine Mail korrekt signiert ist, kann man fälschen, indem man etwa einfach ein passendes Bild in die Mail via HTML einfügt.

In Enigmail, dem GnuPG-Plugin für Mozilla Thunderbird, wurde beispielsweise eine signierte Mail bisher durch einen farbigen Balken über der Mail angezeigt. Bei Absendern, deren PGP-Schlüsseln der Empfänger vertraut, ist die Anzeige grün und informiert über eine korrekte Signatur. Diesen Balken zu fälschen, ist trivial, so kann man beispielsweise einfach einen passenden Screenshot einer korrekt signierten Mail anfertigen und diesen als Bild in die Mail einbetten.

Weitere Golem-Plus-Artikel
Gesunde Ernährung: Und führe mich nicht in Versuchung
Gesunde Ernährung: Und führe mich nicht in Versuchung

Pizza, Cola und Süßkram sind immer noch auf vielen IT-Desks zu finden. Neue Dienstleister, Gadgets und Verhaltenstricks sollen helfen, den ungesunden Leckereien abzuschwören.
Von Andreas Schulte

Gaming: Computerspiele, kurz und gut
Gaming: Computerspiele, kurz und gut

Zwischen drei und 20 Stunden: Golem.de stellt aktuelle Spitzenspiele vor, die in relativ kurzer Zeit zu bewältigen sind.
Von Peter Steinlechner

Code im Container: Mein Start mit Docker
Code im Container: Mein Start mit Docker

Weshalb ich erst nach zehn Jahren in der IT auf Docker gestoßen bin und wie es meinen Arbeitsalltag verändert hat.
Ein Erfahrungsbericht von Lorenz Hohmann

Aktuell auf der Startseite von Golem.de
Elektromobilität
Nach 20 Jahren steht Tesla vor dem Absturz

Sinkende Absatzzahlen, Entlassungen, technologischer Rückstand und fehlende Führung durch den Chef haben Tesla in eine gefährliche Lage gebracht.
Ein IMHO von Frank Wunderlich-Pfeiffer

Elektromobilität: Nach 20 Jahren steht Tesla vor dem Absturz
Artikel
  1. Ultrastar Transporter: WD stellt externe 368-TByte-SSD vor
    Ultrastar Transporter
    WD stellt externe 368-TByte-SSD vor

    Während wenige Terabyte für den Heimgebrauch reichen, gelten im Datacenter andere Maßstäbe. Die wohl größte externe SSD ist in jeder Hinsicht gigantisch.

  2. Web Distribution: Neue Beta öffnet iOS für App Stores und direkte Downloads
    Web Distribution
    Neue Beta öffnet iOS für App Stores und direkte Downloads

    Im neuen iOS-Update versteckt sich eine fundamentale Veränderung für das iPhone-Betriebssystem.

  3. Neue Bundesdatenschutzbeauftragte: Zwischen Datenschutz und Datennutzung
    Neue Bundesdatenschutzbeauftragte
    Zwischen Datenschutz und Datennutzung

    Die Nominierung der Datenexpertin und Wissenschaftlerin Louisa Specht-Riemenschneider zur Bundesdatenschutzbeauftragten verspricht neue Akzente im Datenschutz.
    Eine Analyse von Christiane Schulzki-Haddouti

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
    •  /