Mathematiker entlarvt schwache DKIM-Schlüssel
Große Firmen wie Google, Yahoo, eBay und Amazon setzten für digitale Signaturen in E-Mails derart schwache Schlüssel ein, dass sich diese in wenigen Tagen knacken ließen.
Der Mathematiker Zachary Harris hat aufgedeckt, dass viele große Sites zu kurze Schlüssel für die digitalen Signaturen ihrer E-Mails einsetzten, berichtet das US-Magazin Wired. Die Absender-Adressen von Google, PayPal, Yahoo, Amazon, eBay und vielen anderen ließen sich einfach fälschen.
Mittlerweile setzen viele Firmen DomainKeys Identified Mail (DKIM) ein, um mit einer digitalen Unterschrift zu bestätigen, dass eine Mail auch tatsächlich aus ihrer Domain stammt. Harris fiel beim Check eines angeblich von Google stammenden Jobangebots auf, dass die Google-Unterschrift leicht zu fälschen war. Er informierte Google über das Problem, indem er eine Mail an Google-CEO Larry Page schickte, die vorgeblich von Mitbegründer Sergey Brin stammte.
Für DKIM-Signaturen kommt Public-Key-Verschlüsselung in der Regel mit dem RSA-Verfahren zum Einsatz. Allerdings setzten Firmen wie Google, eBay, Yahoo, Twitter und Amazon dafür anscheinend Schlüssel mit lediglich 512 Bit ein. Und die lassen sich laut Harris etwa in der Amazon Cloud innerhalb von drei Tagen für etwa 75 US-Dollar knacken. Banken wie PayPal, die US Bank und HSB setzten auf 768-Bit-Schlüssel, die ebenfalls als unsicher gelten. Damit digitale Unterschriften etwas wert sind, muss man für RSA als absolutes Minimum Schlüssel mit 1024 Bit einsetzen; das National Institute of Standards and Technology der USA (NIST) empfiehlt sogar eine minimale Länge von 2048 Bit.
Harris hat dem Bericht zu Folge zusammen mit dem CERT der Carnegie Mellon University die betroffenen Firmen informiert. Diese haben daraufhin ihre Schlüssel widerrufen und neue ausgestellt. Stichproben von heise Security, etwa bei PayPal, Google und eBay förderten nur noch 1024-Bit-Schlüssel zu Tage.
Update 24.10. 19:15: Das soeben veröffentlichte CERT-Advisory führt auch Microsoft als eine der betroffenen Firmen auf. Es weist allerdings auch darauf hin, dass manche DKIM-Domains als im Testbetrieb markiert sind. Mails aus diesen Domains darf der Überprüfende gemäß dem Standard RFC 6376 nicht anders als unsignierte E-Mails behandeln. (ju)
