Durch den Einsatz des als unsicher geltenden ECB-Verfahrens ist Microsofts Office 365 Message Encryption von einer schwerwiegenden Sicherheitslücke betroffen. Sie erlaubt es Angreifern, durch Analyse verschlüsselter E-Mails deren Inhalte zu rekonstruieren. Doch die Redmonder zeigen sich uneinsichtig. Ein Update ist vorerst nicht zu erwarten.
Wie das US-amerikanische National Institute of Standards and Technology (NIST) bereits im März
Die in Office 365 angebotene Methode zur Übermittlung verschlüsselter E-Mails soll es den Benutzern der Software eigentlich ermöglichen, auf sichere Weise mit anderen Personen zu kommunizieren. Doch durch den Einsatz der ECB-Technik verfehlen die Redmonder ihr Ziel. Denn wie Sicherheitsforscher von WithSecure in ihrem neuen
Sich wiederholenden Blöcken der mit Office 365 versendeten Botschaft weist der Algorithmus immer dieselben Chiffrierblöcke zu. Das führt schließlich dazu, dass zwar der eigentliche Klartext nicht direkt offenliegt, wohl aber Informationen über dessen Struktur. Durch “eine Analyse der Beziehung der sich wiederholenden Muster” in einer großen Anzahl von E-Mails kann ein Angreifer letztendlich Teile des verschlüsselten Inhalts ableiten und unter Umständen sogar die gesamte Nachricht rekonstruieren.
Tarnkappe.info
Office 365 Message Encryption setzt auf unsichere ECB-Technik
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
von Microsoft 365Wie das US-amerikanische National Institute of Standards and Technology (NIST) bereits im März
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, ist der Einsatz von Electronic Codebook (ECB) zur Verschlüsselung vertraulicher Informationen ungeeignet und stellt daher eine schwerwiegende Sicherheitslücke dar. Auf eben jene Technik setzt aber ausgerechnet die Office 365 Message Encryption (OME) von Microsoft.Die in Office 365 angebotene Methode zur Übermittlung verschlüsselter E-Mails soll es den Benutzern der Software eigentlich ermöglichen, auf sichere Weise mit anderen Personen zu kommunizieren. Doch durch den Einsatz der ECB-Technik verfehlen die Redmonder ihr Ziel. Denn wie Sicherheitsforscher von WithSecure in ihrem neuen
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
klarstellen, können Angreifer den Inhalt der Nachrichten möglicherweise entschlüsseln.Angreifer können Inhalte durch Analyse rekonstruieren
ECB gibt gewisse strukturelle Informationen preis, die in einem Verlust der Vertraulichkeit münden. Verschlüsselte Nachrichten hängen üblicherweise als Anhang an einer regulären E-Mail, die sich auf dem Transportweg zum Empfänger potenziell abfangen lässt. Sammelt ein Angreifer zahlreiche Mails auf diesem Wege, so kann er durch Analyse von wiederholten Abschnitten innerhalb der Nachrichten auf deren Inhalt – oder zumindest Teile davon – schließen.Sich wiederholenden Blöcken der mit Office 365 versendeten Botschaft weist der Algorithmus immer dieselben Chiffrierblöcke zu. Das führt schließlich dazu, dass zwar der eigentliche Klartext nicht direkt offenliegt, wohl aber Informationen über dessen Struktur. Durch “eine Analyse der Beziehung der sich wiederholenden Muster” in einer großen Anzahl von E-Mails kann ein Angreifer letztendlich Teile des verschlüsselten Inhalts ableiten und unter Umständen sogar die gesamte Nachricht rekonstruieren.
Ein Update für Office 365 ist nicht in Sicht – wohl aber rechtliche Konsequenzen
Die Forscher warnen vor den rechtlichen Konsequenzen, die die schwache Office 365 Message Encryption nach sich ziehen kann:Microsofts Reaktion auf den Bericht der WithSecure Sicherheitsforscher zeugt nicht gerade von Einsicht:Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
Die Schlussfolgerung der Forscher lässt daher nur eine Option zum Schutz vor der Schwachstelle zu. Wer sicher kommunizieren möchte, sollte Office 365 Message Encryption einfach nicht verwenden. Mit seiner Software Geld zu verdienen hat für Microsoft ganz offensichtlich eine höhere Priorität als die Sicherheit seiner Kunden.Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
Tarnkappe.info
