Die Open-Source-Software „Mailvelope“, ein populäres Browser-Mail-Verschlüsselungs-Addon, wurde durch Unterstützung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) weiterentwickelt. SEC Consult war im Rahmen des Projekts mit der Durchführung eines Sicherheitstests beauftragt. Dabei konnten diverse Schwachstellen identifiziert und daraufhin erfolgreich geschlossen werden.
Milvelope ermöglicht es Anwendern, direkt im Browser E-Mails zu verschlüsseln, zu entschlüsseln oder zu signieren sowie eine Signaturprüfung auf E-Mails durchzuführen – ohne dass ein spezielles E-Mail-Programm benötigt wird. Zur Anwendung kommt der Verschlüsselungsstandard OpenPGP.
Die Zielsetzung des Projekts „Weiterentwicklung Mailvelope“ war insbesondere sowohl die deutlich nutzerfreundlichere Installation, Konfiguration und Anwendung von Ende-zu-Ende-Verschlüsselung, als auch die größere Verbreitung von Verschlüsselung beim E-Mail- und Formular-Austausch durch weitgehende Automatisierung. Zukünftig kann die Software auch genutzt werden, vertrauliche Anfragen, zum Beispiel an Ärzte oder Banken über Web-Formulare zu stellen.
Schwachstellen gefunden und ausgeräumt
Im laufenden Projekt haben die Experten von SEC Consult einen Sicherheitstest durchgeführt. Dabei wurden diverse Schwachstellen in den Vorversionen von Mailvelope und der Krypto-Bibliothek OpenPGP.js identifiziert. Beispielsweise beschreibt eine der gefundenen Schwachstellen die Durchführung einer „Invalid Curve Attack“, eines Angriffs auf die Implementierung Elliptischer-Kurven-Kryptografie. Unter bestimmten Umständen hätte diese Schwachstelle einem Angreifer erlauben können, private PGP-Schlüssel eines Opfers auszulesen und so beispielsweise verschlüsselte E-Mails mitzulesen.
Weitere Schwachstellen hätten unter speziellen Voraussetzungen einen Angreifer befähigt, Signaturen zu fälschen, dem Opfer manipuliertes Schlüsselmaterial unterzujubeln oder Einstellungen der Browser-Erweiterung zu manipulieren. SEC Consult konnte im Rahmen einer tiefgehenden Analyse diese und viele weitere Schwachstellen aufdecken und zur Sicherheit und Qualität des Open-Source-Projekts maßgeblich beitragen.
#Netzpalaver #SECConsult
