Die Sicherheitskriterien für kryptografische Schlüssel ändern sich bisweilen. So etwa bei DKIM-Schlüsseln zur Signatur von Mailheadern: Eine Studie testete die DKIM-Informationen von mehr als 400.000 der populärsten Domains und stellte dabei fest, dass viele dieser Domains unsichere Schlüsselgrößen verwenden. Mit einem geknackten DKIM-Schlüssel schleusten die Forscher dann gefälschte Mails ein.
Anzeige
DKIM (DomainKeys Identified Mail) ist eine Technik, die beim Versand die Header, also Meta-Informationen von E-Mails, digital signiert. Der Mailserver des Senders signiert die Header mithilfe eines privaten Schlüssels, sein Gegenstück beim Empfänger prüft mittels des dazugehörigen öffentlichen Schlüssels die Signaturen. Öffentliche Schlüssel eines Mailservers sind im DNS (Domain Name System) hinterlegt und somit einfach abrufbar. Richtig implementiert, hilft DKIM bei der Erkennung von E-Mail-Fälschungen, wie sie bei Phishing-Angriffen vorkommen.
Das klappt jedoch nur, wenn Angreifer den privaten Schlüssel einer Domain nicht erraten können. Könnten sie das, wären sie in der Lage, eine DKIM-Signatur für jede beliebige, also auch eine gefälschte E-Mail, auszustellen. Die Ergebnisse des Tests zeigen: Falsch gewählte Schlüssel können die DKIM-Sicherheit aushebeln.
Die Sicherheitsforscher überprüften Mitte 2024 eine Million der beliebtesten Domains im Internet auf ihre Mailsicherheit. Bei immerhin gut 475.000 Domains konnten sie einen DKIM-Eintrag ermitteln; fast alle Schlüssel waren RSA-Schlüssel. Fast die Hälfte der untersuchten DKIM-Schlüssel hatte eine Größe von 1024 Bit oder weniger, wie das Team um Andreas Wulf herausfand.
Testweise knackten die Forscher Ende 2024 einen 512-Bit RSA-Schlüssel auf einem gemieteten Cloud-Server (Kosten ca. 8 Euro) und verschickten dann mit diesem Schlüssel eine E-Mail mit gefälschtem Absender über große Mail-Plattformen. Obwohl Mails mit DKIM-Signaturen einer solch kleinen Schlüssellänge seit 2018 nicht mehr angenommen werden sollten, lieferten drei Anbieter (Yahoo, Tuta und Mailfence) die gefälschte Test-Mail an den Empfänger aus.
RSA-Schlüssel mit einer Länge von 384, 512 oder 768 Bit sind, so zeigt es der Versuch, mit wenig Aufwand zu knacken. Aber auch 1024 Bit lange DKIM-Schlüssel sind heute nicht mehr "Stand der Technik", werden aber aus Gründen der Kompatibilität oft noch akzeptiert.
Zeit genug für eine Aktualisierung hatten alle Mail-Administratoren. So erschien die neue Anforderung für Schlüssellängen bereits 2018, im selben Jahr führte RFC8436 die auf elliptischen Kurven beruhenden Ed25519-Schlüssel als Alternative für DKIM ein.
Auch wenn wir es vielleicht nicht mehr so stark bemerken wie vor 20 Jahren: Unsere Rechner werden immer noch schneller. Was neue Anwendungsfelder wie KI oft erst möglich machen, kann für veraltete Krypto-Konfigurationen gefährlich werden. Entscheidungen, die vor zwei Dekaden noch sicher waren, sind es heute nicht mehr. Schlüsselgrößen, Algorithmen und Konfigurationen sollten alle ein bis zwei Jahre überprüft und nötigenfalls aktualisiert werden. Nicht nur bei DKIM.
(
Kommentare