E-MAIL-VERSCHLÜSSELUNG LEICHTGEMACHT – ODER NUR NEUER WEININ ALTEN SCHLÄUCHEN?22. DFN-Konferenz “Sicherheit in vernetzten Systemen” – 24.02.2015

S. Baust1,2 T. Straub1 W. Mitzel1,31DHBW 2Heidelberg Mobil 3Lufthansa AirPlus

MOTIVATION

E-MAIL HEUTE

# E-Mail nach wie vor eine der häufigstenKommunikationsformen1 – trotz sozialen Netzwerken!

1The Radicati Group, Inc. (2014), http://www.radicati.com/wp/wp-content/uploads/2014/01/Email-Statistics-Report-2014-2018-Executive-Summary.pdf

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 3

VERÄNDERTE ANFORDERUNGEN

# E-Mails überall abrufbar◦ Dektop◦ Webmail◦ Smartphone

Quelle: https://www.campaignmonitor.com/resources/will-it-work/email-clients/

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 4

MOTIVATION

# Artikel 10(1) Grundgesetz:„Das Briefgeheimnis sowie das Post- und

Fernmeldegeheimnis sind unverletzlich“

# Seit den Enthüllungen von Snowden ist klar, dass gegendieses Gesetz in großem Maße verstoßen wird.

# Es gibt eine Lösung für dieses Problem: Ende-zu-EndeVerschlüsselung

# Problem: E-Mail Verschlüsselung ist kompliziert

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 5

UNTERSUCHUNGSMETHODIK

UNTERSUCHUNGSMETHODIK

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 7

EINSATZSZENARIO UND BEKANNTEANSÄTZE

BEDROHUNGSMODELL

# Annahme: Angreifer kann◦ gesamten Datenverkehr mitlesen zwischen den

Kommunikationspartnern◦ auf gespeicherte Daten beim Provider zugreifen

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 9

BEKANNTE ANSÄTZE

# Web of Trust (PGP)

CC BY-SA 3.0, Ogmios

# Hierarchie von CertificationAuthorities (X.509)

Quelle: https://www.sepago.com/blog/2011/12/20/what-certificate-authorities-are-and-why-we-need-to-trust-them

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 10

KATEGORISIERUNG

LÖSUNGEN

APG Jumble Mail okTurtles Scramble.ioBitmail kinko.me opaqueMail ShazzlemailCountermail Lavabit opencom ShwyzDark Mail Alliance Lavaboom openKeychain StartMailEnd-to-End LEAP (Bitmask) Parley TutanotaEnigmail Lockbin PEP virtruEnlocked Mailpile PrivateSky whiteout.ioFreedomBox Mailvelope ProtonMailgpg4o Mega Safe-MailGpg4win Neomailbox salusafe

⇒Wie viele TeilnehmerInnen verwenden eine der Lösungen?(Ausgenommen Gpg4win und Enigmail)

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 12

KATEGORISIERUNG

# Reifegrad# Technische Realisierung# Plattform# Formate und Standards# Schlüsselverzeichnis# Vertrauensmodell# Schlüsselspeicherung

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 13

WIE IST DER REIFEGRAD DERLÖSUNG?

REIFEGRAD

Projekte sind inaktiv, im Konzeptstadium oder „Closed Beta“

APG Jumble Mail (((((hhhhhokTurtles Scramble

Bitmail (((((hhhhhkinko.me opaqueMail Shazzlemail

Countermail ����XXXXLavabit ((((

(hhhhhopencom Shwyz

((((((((

(hhhhhhhhhDark Mail Alliance Lavaboom openKeychain StartMail((((

((hhhhhhEnd-to-End (((((((

(hhhhhhhhLEAP (Bitmask) ����XXXXParley Tutanota

Enlocked Lockbin PEP virtruEnigmail Mailpile ��

����XXXXXXPrivateSky whiteout.io

(((((((hhhhhhhFreedomBox Mailvelope ProtonMail

gpg4o ���XXXMega Safe-MailGpg4win Neomailbox salusafe

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 15

TECHNISCHE REALISIERUNG: WIE ISTDIE LÖSUNG UMGESETZT?

TECHNISCHE REALISIERUNG

# Built-in (klassisch)◦ In einem Standard-Client enthaltene Funktionalität

# Plug-In (klassisch)◦ Zusatzsoftware für einen bestehenden Client

# Proxy◦ POP3-/IMAP- bzw. SMTP-Proxy im eigenen Netz.

Funktionalität kann für beliebigen Client nachgerüstet werden.# Eigener Client

◦ Erfordert den Umstieg auf einen eigenen Client# Non-E-Mail (Ausschlusskriterium)

◦ Die Lösung ist nicht Standard-konform zu RFC 5322 (InternetMessage Format) und benötigt einen eigenen Client

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 17

PROXY – BEISPIEL KINKO.ME

Self-Hosted-Lösung für zuhause mit eigener Hardware

Quelle: https://www.youtube.com/watch?v=cRm02ZKjxdM

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 18

PROXY – BEISPIEL SHAZZLEMAIL

läuft direkt auf Smartphone, Punkt-zu-Punkt-Verbindung

Quelle: http://shazzlemail.com/wp-content/uploads/ShazzleMail_Overview.pdf

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 19

FORMATE UND STANDARDS: WELCHESFORMAT WIRD FÜR DEN

NACHRICHTENTRANSPORTVERWENDET?

FORMATE UND STANDARDS

# OpenPGP (klassisch)◦ PGP/Inline◦ PGP/MIME

# S/MIME (klassisch)# Proprietär (Ausschlusskriterium)

◦ Ist nicht interoperabel (mehrdazu später)

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 21

SCHLÜSSELVERZEICHNIS: WIEKÖNNEN PUBLIC KEYS VERTEILT

WERDEN?

SCHLÜSSELVERZEICHNIS

# PGP-Keyserver◦ Es werden PGP-Keyserver verwendet

# Directory◦ Der Anbieter betreibt ein eigenes Schlüsselverzeichnis mit

eigener API# Peer to peer

◦ Kein öffentliches Schlüsselverzeichnis◦ Public Keys werden von den Kommunikationspartnern

untereinander verteilt

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 23

SCHLÜSSELVERZEICHNIS - PGP-KEYSERVER

Zum Beispiel

# Enigmail, PEP, ...◦ Schlüsselbeschaffung von Keyservern◦ z.B. https://pgp.mit.edu/

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 24

EIGENES DIRECTORY – BEISPIEL WHITEOUT.IO

Request:GET https://keys.whiteout.io/dave@mitzel.ws

Response:��BEGIN PGP PUBLIC KEY BLOCK��Version: GnuPG v2mQENBFQmwJcBCADICKn7YeiTFgDaks1SrU4H[...]��END PGP PUBLIC KEY BLOCK��

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 25

PEER TO PEER – BEISPIEL PEP

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 26

VERTRAUENSMODELL: IST DIE E-MAILAUTHENTISCH? FÜR WENVERSCHLÜSSELN WIR DIE

NACHRICHT?

VERTRAUENSMODELL

Sicherstellung der Authentizität von Schlüsseln

# Hierarchisch◦ einer oder mehreren dritten Parteien wird vertraut (zum Beispiel

eine CA)# Web of Trust

◦ nach dem Modell von PGP# Direct trust

◦ Jeder Kommunikationspartner entscheidet autonom, ob undwelche Public Keys er als authentisch ansieht

# Key continuity◦ Public Key gilt ohne weitere Prüfung bei 1. Nutzung als

authentisch◦ danach wird sichergestellt, dass sich Schlüssel nicht ändert◦ „trust on first use“ (TOFU)

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 28

VERTRAUENSMODELL - HIERARCHISCH

Beispiele:

# Modell von X.509 (S/MIME)# Eigenes Verzeichnis: Bindung von Schlüsseln an Accounts

◦ Beispiel: whiteout.io (Directory wird vertraut), Sicherstellung derauthentizität durch den Anbieter

◦ Mögliche Verbesserung: Notwendiges Vertrauen an Anbieterdurch Dezentralisierung verringern◦ http://convergence.io/ fragt mehrere unabhängige

Verzeichnisse an; Vergleich aller Ergebnisse

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 29

VERTRAUENSMODELL - WEB OF TRUST

CC BY-SA 3.0, Ogmios

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 30

KEY CONTINUITY – BEISPIEL PEP

Key Continuity/TOFU: Implizites Vertrauen bei Empfangverschlüsselter Nachricht:

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 31

DIRECT TRUST – BEISPIEL PEP

# Verifizierung durch Fingerprint-Vergleich# Short: Tradeoff zwischen Aufwand und Sicherheit

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 32

SCHLÜSSELSPEICHERUNG: WIE KANNUNTERWEGS AUF E-MAILSZUGEGRIFFEN WERDEN?

SCHLÜSSELSPEICHERUNG

Verteilung der Private Keys

# Anbieter (Ausschlusskriterium)◦ Der private Schlüssel ist auf dem Server des Anbieters

gespeichert◦ Anbieter hat potenziell Zugriff auf alle Klartexte

# Anbieter (verschlüsselt)◦ Der private Schlüssel ist auf dem Server des Anbieters

gespeichert◦ Schlüssel mit einem Passwort verschlüsselt und erst clientseitig

wiederhergestellt◦ Beispiele: whiteout.io, Scramble.io

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 34

SCHLÜSSELSPEICHERUNG II

# Gerät des Nutzers◦ Der private Schlüssel liegt auf einem Gerät im vollen

Einflussbereich des Nutzers vor.◦ Beispiele

◦ Kinko.me: Eigene Box im lokalen Netzwerk◦ Shazzlemail: Smartphone

# Manuell (klassisch)◦ Verteilung des Schlüssels manuell über eine Export- bzw.

Importfunktion

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 35

VORAUSWAHL AUFGRUND VONAUSSCHLUSSKRITERIEN

AUSSCHLUSSKRITERIEN

Manche Lösungen erfüllen mehrere Ausschlusskriterien.

# Bereits erwähnt◦ Fehlende Standardkonformität→ 10◦ Non-E-Mail→ 3◦ Inaktive Projekte→ 4◦ Unzureichender Reifegrad→ 10

# Weitere Ausschlusskriterien◦ Keine Ende-zu-Ende Verschlüsselung→ 3◦ Schlechte Benutzbarkeit→ 3

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 37

KEINE ENDE-ZU-ENDE VERSCHLÜSSELUNG

# Safe-Mail◦ Dauerhafter Zugriff des Anbieters auf privaten Schlüssel

# Jumble Mail◦ Temporärer Zugriff, echte Ende-zu-Ende Verschlüsselung

geplant

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 38

SCHLECHTE BENUTZBARKEIT

# Bitmail# opaqueMail

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 39

LÖSUNGEN

Nach Anwendung der Ausschlusskriterien bleiben 7 Lösungen.Davon verfolgen lediglich 3 neuartige Ansätze.

APG ((((((hhhhhhJumble Mail (((

((hhhhhokTurtles Scramble����XXXXBitmail (((

((hhhhhkinko.me ((((((hhhhhhopaqueMail ((((

((hhhhhhShazzlemail(((

(((hhhhhhCountermail ����XXXXLavabit ((((

(hhhhhopencom ����XXXXShwyz

(((((((

((hhhhhhhhhDark Mail Alliance (((((hhhhhLavaboom ((((

(((hhhhhhhopenKeychain (((((hhhhhStartMail

((((((hhhhhhEnd-to-End ((((

((((hhhhhhhhLEAP (Bitmask) ����XXXXParley ((((

(hhhhhTutanota(((

((hhhhhEnlocked ����XXXXLockbin PEP ���XXXvirtru

Enigmail ����XXXXMailpile ���

���XXXXXXPrivateSky whiteout.io((((

(((hhhhhhhFreedomBox Mailvelope ((((((hhhhhhProtonMail

gpg4o ���XXXMega (((((hhhhhSafe-Mail

�����XXXXXGpg4win (((

(((hhhhhhNeomailbox (((((hhhhhsalusafe

Verbleibende Lösung ((((((((hhhhhhhhAusgeschlossen ((((

(((hhhhhhhNicht getestet

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 40

INTEROPERABILITÄTSTESTS

INTEROPERABILITÄT?

# Ist wichtig für die Verbreitung# Bestehende Nutzer von PGP und S/MIME können ihre Lösung

weiter verwenden

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 42

TESTAUFBAU

# Standard: Alice und Bobkommunizieren

# Szenarien1. Installation und

Konfiguration2. Versand einer Nachricht,

evtl. manuellerSchlüsselimport

3. Export/Veröffentlichungdes eigenen Public Keys

4. Empfang verschlüsselterund signierter Nachrichten

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 43

INTEROPERABILITÄTSTABELLE

VonAn AP

G

Enigmail

gpg4

o

Mailve

lope

PEP

Scramble.io

whiteou

t.io

APG Jaa Ja Jaa Ja Ja Nein JaEnigmail Ja Ja Ja Ja Ja Ja Jagpg4o Jaa Ja Ja Jaa Jaa Ja JaaMailvelope Ja Ja Jaa Ja Ja Ja JaPEP Jaa Ja Jaa Ja Jaa Nein JaScramble.io Neinc Neinc Nein Neinc Nein Ja Neincwhiteout.io Nein Ja Nein Jab Ja Nein Ja

aNicht explizit getestetbDarstellungsproblemecNur der Betreff wird entschlüsselt

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 44

BEOBACHTUNGEN ZUR INTEROPERABILITÄT

# PGP/Inline am häufigsten im Einsatz# PGP/MIME wenig unterstützt, zum Teil Darstellungsfehler beim

Entschlüsseln (whiteout.io)# Scramble.io

◦ Die E-Mail-Adresse ist nicht im Schlüssel enthalten◦ Führt zu Problemen beim Schlüsselimport und Verschlüsselung

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 45

SCRAMBLE.IO UND PGP

# „Verbesserungen“ können zur Inkompatibilität führen:◦ Beispiel: verschlüsselter Betreff bei Scramble.io→ Empfänger bekommen häufig nur Betreff angezeigt

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 46

UMSETZUNG VONSTANDARDVORGÄNGEN

UMSETZUNG VON STANDARDVORGÄNGEN

# Einrichtung# Senden verschlüsselter

Nachrichten# Empfangen verschlüsselter

Nachrichten

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 48

UMSETZUNG VON STANDARDVORGÄNGEN - ERGEBNISSE

# Kommunizieren beide Parteien mit der gleichen Lösung, istkein zusätzlicher Aufwand für die Verschlüsselung notwendig

# Sobald unterschiedliche Lösungen◦ Schlüssel-Export und -Import notwendig, gleiche Probleme wie

PGP◦ Import und Export manchmal nicht einfach möglich

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 49

UMSETZUNG VON STANDARDVORGÄNGEN - ERGEBNISSE

# Probleme bei der Nutzerinteraktion◦ Beispiel: whiteout.io◦ Es ist nicht möglich zwischen einer unsignierten und einer

signierten Nachricht zu unterscheiden◦ Führt zu geringerem Schutz vor aktiven Angreifern

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 50

FAZIT UND AUSBLICK

FAZIT

Von insgesamt 37 Lösungen machen lediglich zwei der„neuartigen“ einen guten Eindruck.

# PEP◦ liegt allerdings nur als „Technical Preview“ vor

# whiteout.io◦ Eingeschränkt produktiv nutzbar, aber die Versionsnummer

beträgt 0.21.0

Nicht alle Lösungen sind frei von Sicherheitslücken (s. nächsteFolie).

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 52

SICHERHEITSLÜCKEN – BEISPIEL ENLOCKED

1. Übertragung der Nachricht im Klartext an Anbieter2. E-Mail-Body anfällig für XSS-Angriff

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 53

AUSBLICK

# PEP und whiteout.io weiter beobachten# Weitere interessante Ansätze

◦ kinko.me (Proxy)◦ okTurtles (Schlüsselverteilung per DNS)

# Durch Crowdfunding finanzierte Projekte◦ ProtonMail (550k USD)

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 54

AUSBLICK II

Weitere Untersuchungen notwendig

# Vertrauenswürdigkeit◦ Lizenzmodell der Lösung (Open-Source?)◦ Finanzierungsmodell

# Sicherheit der Implementierung von Kryptographie mittelsJavaScript

# Eingehende Usability-Studien (z.B. Endanwender-Tests)# Untersuchung der anfallenden Metadaten

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 55

Q&A

# Fragen?# Kontakt:

dfn@stefanbaust.de

Stefan BaustTobias StraubWladislaw Mitzel

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 56

BILDQUELLEN

S. Baust/T. Straub/W. Mitzel: E-Mail-Verschlüsselung leicht gemacht – oder nur neuer Wein in alten Schläuchen? 57