OpenPGP/GnuPG: Signaturen fälschen mit HTML und Bildern

PGP-Signaturen sollen gewährleisten, dass eine E-Mail tatsächlich vom korrekten Absender kommt. Mit einem simplen Trick kann man bei vielen Mailclients scheinbar signierte Nachrichten erstellen – indem man die entsprechende Anzeige mittels HTML fälscht.

Artikel von veröffentlicht am
Unterschriften fälschen - das geht auch digital bei OpenPGP-Signaturen.
Unterschriften fälschen - das geht auch digital bei OpenPGP-Signaturen. (Bild: Dreamstime/CC0 1.0)

Neben der Verschlüsselung von Mails kann man mit dem OpenPGP-Standard und GnuPG E-Mails auch digital signieren. Damit soll gewährleistet werden, dass Mails vom korrekten Absender kommen und nicht gefälscht werden können. Doch zahlreiche Mailprogramme und Plugins weisen eine erstaunlich triviale Schwäche auf: Die Anzeige, dass eine Mail korrekt signiert ist, kann man fälschen, indem man etwa einfach ein passendes Bild in die Mail via HTML einfügt.

In Enigmail, dem GnuPG-Plugin für Mozilla Thunderbird, wurde beispielsweise eine signierte Mail bisher durch einen farbigen Balken über der Mail angezeigt. Bei Absendern, deren PGP-Schlüsseln der Empfänger vertraut, ist die Anzeige grün und informiert über eine korrekte Signatur. Diesen Balken zu fälschen, ist trivial, so kann man beispielsweise einfach einen passenden Screenshot einer korrekt signierten Mail anfertigen und diesen als Bild in die Mail einbetten.

Weitere Golem-Plus-Artikel
Hohe Datensicherheit mit Hashicorp Vault: Top Secret
Hohe Datensicherheit mit Hashicorp Vault: Top Secret

Sichere, automatisierte und integrierte Secret-Management-Lösungen werden immer wichtiger. Hashicorp Vault ist ein tolles Werkzeug dafür; wir zeigen, was es kann.
Von Philip Lorenz

Autonomes Fahren: Mit dem Lidar durch die Wasserdusche
Autonomes Fahren: Mit dem Lidar durch die Wasserdusche

Der chinesische Hersteller Nio setzt schon bei Level-2-Systemen auf teure Lidarsensoren. In manchen Situationen bringt das tatsächlich mehr Sicherheit.
Ein Bericht von Friedhelm Greis

Momentum Sport im Test: Das wichtigste Versprechen löst Sennheiser nicht ein
Momentum Sport im Test: Das wichtigste Versprechen löst Sennheiser nicht ein

Was bringen Fitnessfunktionen in einem Hörstöpsel? Diese Frage klären wir in diesem Test und lenken unseren Blick darauf, ob Sennheiser die Momentum Sport für den sportlichen Einsatz optimiert hat.
Ein Test von Ingo Pakalski und Peter Steinlechner

Aktuell auf der Startseite von Golem.de
Windows
Smart-TV bringt Computer zum Absturz

Über Jahre sind bei der Sound-Designerin Priscilla Snow immer mehr Funktionen ihres PCs ausgefallen, bis er fast unbrauchbar war. Als Übeltäter hat sich ihr Hisense-Fernseher herausgestellt.

Windows: Smart-TV bringt Computer zum Absturz
Artikel
  1. Fritzbox: AVM bestätigt gute Einigung mit Huawei zu Patenten
    Fritzbox
    AVM bestätigt "gute Einigung" mit Huawei zu Patenten

    Trotz viel Geheimhaltung lobt AVM die Einigung mit Huawei zu Wi-Fi-Patenten. Die Workarounds für die Fritzbox werden zurückgenommen.

  2. Militär: Laserantrieb soll chinesische U-Boote leise machen
    Militär
    Laserantrieb soll chinesische U-Boote leise machen

    Es könnte der Albtraum für die Gegner sein: ein U-Boot mit Laserantrieb, das sehr schnell und leise durchs Wasser gleiten soll.

  3. KI-Modell: Microsoft stellt mit Phi-3 Mini ein LLM für das iPhone vor
    KI-Modell
    Microsoft stellt mit Phi-3 Mini ein LLM für das iPhone vor

    Microsoft hat mit Phi-3 Mini sein bisher kompaktestes KI-Modell vorgestellt. Es soll die Leistung von GPT 3.5 bieten, läuft aber auch auf dem iPhone.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
    •  /