 Über ein Breaking Encryption, wir warten, glaube ich, noch auf den Speak ein bisschen. Also, Sebastian Schinsel. Der, der die E-Fails entdeckt hat, der Sebastian Schinsel ist Professor. Da gab er vor einem halben Jahr ungefähr den Hopper, das Hopperladen mit dem sogenannten F-Mail. Das ist jetzt Sebastian Schinsel. Wir begrüßen euch. Euer Besetzerteam ist André und Parkwart und willkommen zum Talk. Es ist gut zurück zu sein. Danke, alle, die gekommen sind. Mein Name ist Sebastian. Danke, dass ich hier sprechen darf am CCC. Ich mag Verschlüsselung und ich analysiere gerne Schlüssel und ich breche sie ganz gerne, wenn ich kann. Wir haben ein, ein Research gemacht auf CSS, TNL, Entschuldigung. Ich fange normalerweise, normalerweise meine Talks an, wer diese Technologie verwendet. Wenn man einen Talk über irgendein Kommunikationsprotokoll macht, dann fragt man mal, das Auditorium, wer das alles verwendet. Für E-Mail ist es irgendwie seltsam, weil jeder verwendet E-Mail. Niemand, den ich kenne, der, also das erste, was man vor 20 Jahren ist, das Internet begonnen hat, gemacht hat, ist E-Mails geschickt. Jeder hat E-Mail. Aber, schauen wir uns einmal an, wie es funktioniert, wenn man ein E-Mail schickt. Also, ich schreibe ein E-Mail und ducke auf Schicken. Also, ich verwende einmal das lokalne Netzwerk. Da ist ein grüner Pfeil, es ist unter deiner Kontrolle. Du kannst selber definieren, solange dein Router bei dir zu Hause steht. Die nächste Verbindung ist zu deinem SMTP Server. Das ist immer noch, weil du rufst deinen SMTP Server auf. Das ist normalerweise TLS verkriptet. Was anders ist, wenn ein I-Map erkannt hast, wie es du also in den Gesendetfolter deines I-Maps auch, weil das ist auch noch grüner Pfeil, weil du kontrollierst, wenn das ins Archiv oder wenn du GMS oder G-Mail oder deine Unternehmen, aber vielleicht kennst du den Administrator, der das Archiv betreibt, das ist alles noch grün. So, der Rest ist nicht mehr unter deiner Kontrolle. Wenn dein SMTP beginnt, was wegzuschicken oder wenn Antivirus-Maschinen da laufen, wenn das also irgendwo hingeladen wird für Antivirus kontrolliert zu werden, dann geht das irgendwie in die Cloud und dann geht es raus in die Internet. Wir wissen, was im Internet passiert und wir wissen, dass Leute zuhören. Also, abhören. Da gibt es Nation-States, die das machen. Da gibt es individuelle Leute, die das machen. Aber daraus sind die bösen Jungs. Und dann wird es röter und röter. Wenn, also auf der anderen Seite im Receiver, den SMTP2, sozusagen, du hast keine Ahnung verwendet, der TL-S oder der encryption, was die mit ihren Daten machen. Also, das Kontul ist dort längst nicht mehr. Dann geht das zum einen Empfehler des Receivers, des Empfängers. Dann wird es auch erwirrt, also auf der selben Seite, dasselbe wie auf deiner Seite. Und wenn das alles abgesungen ist, geht das zum Empfänger. Und das ist weit jenes, als deiner Kontrolle. Du hast keine Ahnung, was da passiert. Selbst wenn du weißt, dass der Empfänger deiner Mail einen halbwegs ordentlichen Job macht, kannst du nie sicher sein, ob der nicht irgendwo einer lauert und abhört, tot und macht. Das multipliziert sich natürlich, wenn du ein E-Mail mit CC zu mehreren Leuten schickst. Dann geht das an drei verschiedene SMTP-Server. Und es vervielfacht sich, die Möglichkeit hinein zu gretschen, sozusagen, in deine Kommunikation. Leute reden normalerweise über meine E-Mail. Ich habe meinen eigenen E-Mail-Server, und das wird sicher sein. Das ist aber nicht wahr. Der Trick daran ist, in dem Anblick, wo du es beginnst zu verteilen, es ist ja ein Kommunikationsmedium. Und Leute archivieren das, Leute verteilen das. Du hast keine Kontrolle darüber, was da abläuft. Also für den Rest dieser Präsentation gehen wir mal von der Annahme aus. Dein Angreifer hat Zugriff auf deine E-Mails. Du archivierst in deinem eigenen E-Mail-Folder. Ich habe meine letzten 50 Jahre, wenn da jemand hinein fehlt, habe ich ein Problem. Um damit fertig zu werden, es gibt End-to-End-Incription. Das eine ist OpenBGP. Das ist der Erste im RFC 1991, im RFC 4880 erwähnt. Das ist ja den ersten Krypto-Wars entstanden. Die am meisten gebrauchte E-Mail-Client, den es derzeit gibt. S-Mime ist die, das ist ja etwas später entstanden. Das ist RFC 5751. Corporations haben das gerne. Das ist nicht so kompliziert wie OpenBGP. Also große Unternehmen mögen das, weil es pflegeleicht zu... die Privacy Advocates, also wir verwenden eher BGP. Wir können nicht feststellen, wie viele S-Mime wir verwenden. Aber BGP, das können wir... BGP hat Key Server und da können wir feststellen, diese Statistik ist die Statistik, wie viele Keys monatlich gespeichert werden. Das ist so schön konstant darauf gegangen bis 2013. In 2013 ist es plötzlich kaputt explodiert, weil es irgendjemand, warum diese drei Specs sind. Ja, das ist die erste Snowden-Bike. Und Snowden hat BGP als erster sozusagen die breite Öffentlichkeit gezehrt, weil RC verwendet, um mit den Journalisten zu reden. Seither verwenden die Leute BGP wesentlich größerem Ausmaß. Das Enigmail ist das Plugin für Thunderbird, mit BGP verwendet. Und da sieht man, die Downloads haben sich um 50% angehoben, nachdem Snowden damit Publik gegangen ist. Es sind nicht so viele Leute, 100.000 Leute, die Enigmail verwenden. Aber es ist immerhin etwas. Wir wissen seit 50 Jahren, dass BGP 1999 rausgekommen und 2006 noch immer nicht verschlüsseln kann. Das ging um die Usability, also um die Einfachheit der Verwendung. Und der Letzte ist 15. Es gibt einen, immer noch dasselbe, weil BGP unhandlich ist. Das ist nicht inherent für BGP. Bei SMIM gibt es ähnliche Untersuchungen. Normaler User haben das nicht wirklich sinnvoll verwenden können. Um Leuten BGP näher zu bringen, gibt es jede Menge Tutorials. Das ist ein sehr interessantes hier. Das ist das originale Video, um seine Korrespondenten beizubringen, wie man mit BGP umgeht. Das ist immer noch auf ihm mehr zu finden. Er sagt, er sagt, als gegen ein Plug-in ein BGP-Mail empfehlen. Es empfiehlt die direkte Verschlüsselung außerhalb des E-Mail-Kleins. Das Problem ist, wenn man es im E-Mail-Klein verwendet, dann hat der M-Mail-Klein damit eingeschaltet. Das ist sehr wichtig für das, was wir besprechen. Es gibt anfangs ein paar interessante Angriffe, die am Anfang, also da könnte ich es auch selber darauf einfallen, und sie werden über die Zeit immer dümmer. Also fangen wir mal an. Was ist das Schlimmste, was passieren kann, wenn Sie in die Verschlüsselte M-Mail schicken? Was, du schickst einen Privatkimmit? Ja, das ist ganz schlecht. Ja, du schickst das Plaintext. In 2014 war ein E-Mail ein Bug. Du schreibst das E-Mail, du sagst E-Mail, soll es unterschreiben und verschlüsseln, und es tut es nicht. In 2017, Outlook hat es wesentlich besser gemacht, Sie haben es verschlüsselt, ja wir lachen, alle Entschuldigung, haben aber daneben den Plaintext hingeschrieben. Ja, auch nicht so gut. In 2018, Pretty Easy Privacy, wird so schön, als E-Mail, wird verwendet für, es hat behauptet, es inkriptet die E-Mail, aber es tut es nicht. Okay, du kannst die Verschlüsselung nicht brechen, wenn du nicht verschlüsselst. Ich will mich aber nicht amüsieren oder verspocken über irgendwelche Developer, aber E-Mail ist ein Plaintext-Protokoll. Und es ist immer sehr schwer, ein Protokoll zu haben, dass es für Plaintext, also für reinen Text gemacht ist, und da eine Verschlüsselung auch noch an zu flutschen. Das war so beharrtete PS. Ja, jetzt ist es halbwegs sicher, aber auch nur wenn es alle verwenden und solange es eine Mischung ist, so ähnlich ist es im E-Mail. Also da die Plaintext-Bugs weg sind, schauen wir die interessanten Bugs an. Jetzt will ich euch kurz zeigen, wie die Inkription, die Verschlüsselung im PGP und E-Mail funktioniert. Beides sind sehr ähnlich. Wir fangen damit an, dass wir eine Nachricht verschreiben, Nachricht M. Dann generieren wir einen Session-Key mit S und wir benutzen diesen Session-Key und wir benutzen diesen Schlüssel S um einen Cypher-Text machen, ein verschlüsselten Text C. Dann benutzen wir diesen Session-Schlüssel, diesen Sitzungsschlüssel, um diesen mit den öffentlichen Schlüssel des Empfängers zu verschlüsseln und wir bekommen K. Und das Ganze packen wir in eine Nachricht und diese wird verschickt an den Empfänger. Der Empfänger entfängt dann diese Nachricht, und er beginnt damit, dass er C und K extrahiert, von K extrahiert er S und damit kann er dann C extrahieren und damit hat er dann wieder die Originalnachricht. Also benutzt man quasi symmetrische Verschlüsselung für den tatsächlichen Inhalt der Nachricht und dann asymmetrische Verschlüsselung und das Ganze. In meinen vorigen Talks habe ich schon viel über Cypher-Text gesprochen. Und wenn wir komischen Cypher-Text haben, dann sorgt das, wenn wir nur ein Bit hier flippen, dann haben wir so etwas hier. Normalerweise würde ich denken, das hier ist totaler Müll. Das ist nichts Sinnvolles, aber wir sehen hier etwas. Der größte Teil der Nachricht ist immer noch intakt. Wir haben nur ein paar zufällige Müllbinärzeichen und ein geändertes Zeichen. Wo es ursprünglich E-Mail war, haben wir jetzt E-Fail. Um das zu verstehen, müssen wir den Mode of Operation einführen. Jeder Block-Cypher hat die Eigenschaft, dass er diese Blöcke benutzt. Wenn man mehr als 16 Bit-Verschlüssel muss, muss man AES mehrere Male aufrufen und CBC ist eine Möglichkeit, diese Blöcke aufzurufen und in mehrere Blöcke zu unterteilen. Also wir haben den ersten Cypher-Text-Block, dann den nächsten und dann den nächsten. Nur der zweite wird entschlüsselt. Also C1 wird zum Beispiel entschlüsselt, indem man AES verwendet, zum Beispiel. Und das Resultat ist dann nicht plaintext, aber es wird mit XOR verbunden mit C0. Also was immer in C0 geschrieben wird, wird GXOR mit C1 und wir bekommen den Klartext. Und wenn wir einen Bit flippen in C0, dann ändern wir, was auch bei der Entschlüsselung rauskommt, ändern. Und wir ändern dasselbe Bit im Klartext. Wenn wir jetzt C0 benutzen und es XOR mit P0, dann bekommen wir einen Block mit komplett nur Nullen. Und das ist quasi ein Blatt Papier, auf das wir schreiben. Und diese beiden Blöcke in Kombination nennen wir ein CBC-Gadget. Und wenn wir jetzt einen ausgewählten Cypher-Text nehmen, ist das hübsche, wir XOR'n das einfach mit diesem Initial-Vektor und wir haben einen anderen Entschlüsselt-Text. Das Blöde ist, wir wissen nicht den, wir müssen den Wert von P0 wissen, wir müssen den erraten. Das Schöne ist, wir wissen immer die ersten Bytes. Also das ist valide, wir können das tun. Also das ist eigentlich das perfekte Szenario, es hat ein paar Schwächen, weil wenn wir versuchen dasselbe mit C1 zu machen, wenn wir ein Bit hier flippen, dann flippen wir auch ein Bit in C2. Also die Entschlüsselung von C1 resultiert in diesem Quatsch. Wir wissen nicht was hier rauskommt und wir können es auch nicht kontrollieren. Wir müssen einfach nur damit klarkommen. Wir müssen einen Weg finden damit klarzukommen. Und jetzt können wir dieses Verhalten erklären. Erinnert euch noch an diese E-Mail, wo wir nur dieses eine Bit geflippt haben und wir haben gesehen dass ein Block zerstört wurde. Und dann können wir arbitriere Bits flippen. Wie sollte man sich dagegen schützen? Wie sollte man damit umgehen? Normalerweise macht man dafür ein Message Authentication Code. Ein Message Authentication Code ist so eine Art Check Summe, eine kryptografische Check Summe, die direkt neben die verschüssete Nachricht geschrieben wird und die kann vor oder nach der Entschlüsselung gecheckt werden. Digital Signatures sind anders, digital Signaturen sind anders, weil sie komplett unabhängig vom Verschlüsselungstext sind, vom Verschlüsselungspart. Also wir können eigentlich nur einen Eiken zeigen für valide Signature oder nicht gültige Signature. Aber ein schlauer Angreifer kann eine signierte E-Mail benutzen und die Signature wegmachen. Das würde aber dann nicht bedeuten, dass es eine ungültige Signature gibt, sondern wir haben das Eiken verschlüsselt und nicht signiert. Und es gibt gute Gründe, warum man eine verschlüsselte, aber nicht signierte E-Mail schreiben sollte. Also digitale Signaturen verhindern diese Attacke nicht. Also wie sieht es meinem aus? Also die meisten von euch werden von meinem gehört haben. Das ist der Standard, den wir in E-Mails sowieso benutzen. Hier haben wir einen E-Mail-Header. Er ist eher eigentlich aus wie HTTP, Content-Type und dann die Mein-Types, was für Daten jetzt kommen. Dann haben wir den E-Mail-Buddy. Dann haben wir die Daten. Und hier kommen dann die Session-Schlüsse. Und danach haben wir die encrypted-confined-Information. Und hier ist der Teil, wo tatsächlich dann erst die tatsächliche Nachricht kommt. Und wenn wir jetzt kurz gucken, dann sehen wir, es gibt kein Message-Authentication-Code. Es meinem definiert gar kein Message-Authentication-Code. Was bedeutet, dass der Standard überhaupt nicht erkennen kann, ob die Nachricht verändert wurde oder nicht. Also wie können wir das angreifen? Ich denke, ihr habt alle ein Gefühl dafür, dass das nicht funktionieren sollte. Das hier ist der plaintext. Und wir kennen nur den ersten Block. Wir können eigentlich immer nur den ersten Block erraten, weil es immer Content-Type, Doppelpunkt, Leerschritt, TE oder so etwas ist. Nun, wir können das anwenden und unseren Abiträren Klartext da reinschreiben. Und dann haben wir einen Zufallsblock und dann wieder Text. Und dann kopieren wir wieder, haben wir wieder einen Zufallsblock und wieder ausgewählten Klartext. Und das geht zweimal so weiter. Dann kopieren wir den originalen Ciphertext. Das Ganze schließen wir dann. Und wenn wir uns das genau anschauen, dann sehen wir hier, wir bauen hier quasi HTML. Wir haben hier ein Basetag, ein Image tag. Es wird hier oben geöffnet und dann wieder geschlossen. Und hier sehen wir ein URL path. Also wenn dieses html dann interpretiert wird, dann wird der tatsächliche plaintext an den Web Server geschickt. Und hier haben wir eine andere alte Thunderbird-Version. Eine Version vor Mai. Die älter ist als Mai, bevor es eFag ab. Wir kopieren, wir machen jetzt eine Nachricht mit Ciphertext. Und hier haben wir jetzt eine Nachricht, die angreifen soll. Die ist schon präpariert worden. Und der Kleinen fragt schon, es gibt hier fremde Inhalte. Was sollen wir dann machen? Und wir klicken da jetzt einfach drauf. Und wir sehen jetzt immer, wenn wir die Nachricht aufrufen, dann wird eine HTTP-Abfrage gemacht an diese URL. Und wenn wir sie decoden, sieht es aus wie Code. Aber was wir eigentlich haben, ist die zufällige Nachricht und dann wieder zufälliger Random Mölle. Und dann nochmal. Und das ist der erste Proof-of-Konzept, den wir hier haben für diesen Angriff. Also das funktioniert? Also dieser Look, den wir in Thunderbird kriegen, ob wir fremde Inhalte zulassen sollten, ist eigentlich alles, was uns davon abhält, unseren Esmime-Cyphertext zu verlieren. Was wir als Nächstes gemacht haben, ist, wir haben uns gefragt, okay, es funktioniert mit fremden Bildern, aber haben wir noch einen anderen Backchain, also ein Backchain ist etwas, wo der E-Mail client über das Netzwerk kommuniziert. Also es geht nicht unbedingt um das Exfiltrieren von Daten, aber wie können wir ein Client dazu überreden, eine Verbindung aufzubauen? Ich habe hier in Grün alle Clients markiert, die Benutzerinteraktion erfordern, bevor etwas passiert. In Orange sind die Clients, die ohne Benutzerinteraktion fremde Bilder laden. Also Gmail zum Beispiel, die laden das einfach ohne nachzufragen. Aber was noch schlimmer ist, denken wir, sind die in Rot, die sagen, wir laden keine fremden Bilder, aber dann machen sie es doch, weil wir Umgehungsmethoden dafür umfunden haben. Also eigentlich haben sie eine Art Firewall, weil sie das nicht machen, aber wir haben ein Umgehungsmethod dafür zu finden, um das doch zu tun. Und dann haben wir noch fünf gefunden, die tatsächlich sogar JavaScript-Ausführung erlauben. Also tatsächlich 40 von 47 Clients brauchen überhaupt keine Benutzerinteraktion um so etwas zu ermöglichen. Also wie können wir Plain Text jetzt darüber exfiltrieren? Und das ist die letztendliche Tabelle für Esmime. Sieht ziemlich dunkel aus, ziemlich düster aus. Also die Orangen und Roten heißen, wir könnten Plain Text extrahieren und die Grünen sind in Ordnung. Was immer nicht schlecht ist, das ist gut. Ich habe nicht gesagt, was es im Esmime sagt, aber es heißt das Supermime. Also das Kryptonite sozusagen für Esmime ist HTML. Esmime ist zerstört durch HTML. Jetzt gehen wir in den neuen Thunderbird. Das ist mein aktueller, den ich jetzt am Mac-Tour habe. Das ist das, was ich vor zwei Tagen aufgehören habe. Jetzt zeige ich euch, wie man Data herauszieht, ohne HTML zu verwenden. Das ist die Message, die wir prägen wollen. Und hier ist diese, und der requested URL, wenn du HTML ausschaltest, wird es immer noch, die Frage danach mitschicken. Wir verlangen immer noch ein bisschen User-Interaction dazu. Wenn du diesen Link, also es verlangt deinen Link, wenn du diesen Klinkst, das ist kein Zero Day Mail-Client, das ist das Protokoll-Immonent. Da gibt es dann dieses ... E-Fail sollte eigentlich mit jedem Format funktionieren, dass eine externe Kommunikation verlangt. Das ist ein PDF, wenn du da dran kriegst. Willst du das wirklich? Ihr seht ja, was es auf Deutsch heißt. Wenn du ja klickst, bist du schon wieder auf der Verbindung, am falschen URL sozusagen. Und wenn du schaust, wie die URL in speed.f encoded, wenn du im Hex-Editor das PDF ausmachst, das schießt deinen Singer aus, im Prinzip genauso wie HTML. Du könntest dein HTML so verändern, dass es ein PDF-Attachment hat. Das geht natürlich auch mit Words. Doc-Files hat executables, keine User-Interaction, du machst es auf. Der Request zu einer externen Verbindung wird passieren ohne User-Interaction. Aber ich weiß nicht, ob es überall funktioniert, aber hey, keine User-Interaction. LibreOffice, das ist kein Bug im Client. Das ist ein basic Feature, das ist immanent, das ist dem System immanent und das wird supportet werden. Ich kann das nicht einfach auch tun. That's the way it works, so funktioniert es. Hier, wenn ihr es am Zeit habt, wenn ihr eine erfolgreiche Demo... Wie man zeigt, ihr kriegt eine Club-Marte und so, wenn ihr ein schönes Beispiel dafür coded, wie man ohne HTML einen hot.ml-Request zusammenkriegt, was ist passiert, nachdem wir das bekanntgegeben hatten? Um den CBC-Gadget-Attack zu entgehen, sollte man ISCM verwenden. Das ist im Laufenden RFC noch nicht drinnen, aber es wird eingearbeitet so schnell wie möglich. In diesem RFC-Draft ist auch die zweite Attacke drinnen, die wir euch jetzt vorzeigen. ISMIM ist ziemlich broken. Ich kann zumindest verhindern, dass er einen outside URL-Request hat, aber für einen Verlösungs- und Sexperten ist das Ding kaputt. Was ist mit OpenVGP? Da gibt es ein paar Unterschiede Grundlegende. Er verwendet CFB, eine Variation. Im CFB-Mode. Die Plantex-Kompression ist bei default eingeschaltet. Es ist im Prinzip ähnlich. Wir können auch ein Bit flippen. Wir haben den Junk in der Mitte. Die Plantex-Kompression ist eine Kopfluse für uns. Das ist sehr schwer, weil die Plantex-Bytes wechseln und für unsere Angriffe brauchen wir die Plantex-Bytes. Das ist sehr schwer, das zu knacken. OpenVGP definiert auch die solche Modification-Detection-Code. Links ist das M, das wir schicken. Der Schaar 1 ist der Code dazu. Das sollte die Plantex-Modifikation verhindern. Sie sagt, was sagt der Standard von PGP, dass er MDCs verhindert. Eine Implementierung muss MDC versagen, als ein Security-Problem, nicht nur als ein Datenproblem anzusehen und in beiden verhindern. Die Implementierung könnte, aber muss nicht die Datenwerte geben, den E-Mail klären. Jetzt haben wir uns angeschaut auf den Public-Key-Service. Wie viele haben Suppress MDC? Das sieht man hier sehr schön. Es zeigt sehr schön, wie die Software, die nicht MDC verwendet oder in Software verwendet wurde. Ihr seht hier links. Die roten supporten es nicht und die rechten supporten. Aber wenn man das akkumuliert, alle gültigen Keys, die da draussen sind, die immer noch kein MDC sind, wie die Keys-Service. Wir haben 1,8 Millionen, der hier, und die supporten immer noch nicht MDCs. Wenn ich ein E-Mail an einen dieser User schicke, dann ist meine E-Mail immer noch wegbar. Komm ich später noch dazu zurück. Wie können wir eine Struktur der MDC-Service analysieren? Es gibt 3 Testfälle. Zuerst versuchen wir, das MDC zu extrahieren. Wir nehmen das verschlüsselte Paket und nehmen das Ende weg. Wir sagen, das MDC ist korrekt. Wir machen unsere Motivation im Klartext und gucken, ob das MDC den Fehler erkennt. Wir machen vielleicht ein Downgrade von einem Paket, der MDC unterstützt, zu einem, der es nicht unterstützt. Wenn wir das mit den meist benutzen Kleins abprüfen, dann sehen wir, dass die Thunderbird, Apple Mail, Apple Mail und GPDG das regelrecht ignorieren. Es war nicht nur verabschiedet. Was sind die Etha-Verwandten Veränderungen, die gemacht wurden? Zuerst etwas, was sehr wichtig ist. Zuerst ein Paket-Typ, der nicht MDC unterstützt, ist Absolid. Darf man diesen Paket-Typ nicht mehr unterstützen? Man muss ihn ignorieren. Das bedeutet allerdings, wenn man nicht MDC-Messages in der Mailbox hat, kann man sie nicht mehr öffnen. Das ist ein Problem. Dann haben sie auch gesagt, was soll passieren, wenn das MDC falsch ist. Das ist ein Text, den wir schon gesehen haben. Die Implementation kann den User Zugriff erlauben. Es soll aber warnen, während die Inhalter sagt, es sollte es nicht mehr erlauben, dass der User darauf Zugriff hat. Das hat sich jetzt, das war die MDC-Check, war ein bisschen mühsam, aber das sind die Veränderungen. Das Problem ist, MDC kann man nur kontrollieren nach der vollen Entschlüsse. Wenn du ein großes E-Mail hast, musst du das Kopf volle Pulle entschlüsseln. Dann wird Knoopidji entweder sagen, Entschlüsse war erfolgreich oder nicht. Das wird so ablaufen. Hier ist dein E-Mail, hier ist dein E-Mail. Oh nein, ich kann es nicht öffnen. Das ist zwar in Ordnung, sicher als technisch, aber nicht so gut. Bevor wir das veröffentlicht haben, gab es OpenPGP, etwas, was Sie chunking genannt haben, und Sie in Wirklichkeit klüßeln Sie es auf in einzelnen Chunks, in Stücke davon. Sie kontrollieren, ob die Entschlüsse in der Entschlüsse sind. Sie kontrollieren, ob Sie eine Entschlüsse haben. Aber das ist natürlich, die Procken, die Sie herausnehmen, ist 128 Megabyte, ist ein guter Chunk, das ist zu groß. MDCs waren, früher war, wenn PGP ein MDC entdeckt hat, heute macht er seine Haltfailer, und es pffft. Knewpigee verwendet jetzt immer MDC, ohne den Gigafon, dass der Key sagt, supportet es oder nicht. Du kannst zwar die E-Mails nicht mehr lesen vom anderen, aber du kannst informieren, Sie sollen Ihren Key und Ihr Knewpigee updaten. Das Problem ist, der Chunk sei es, als er sich nicht geändert, das sei es Schade, aber da kommt bis zu ein Gigabyte. Was nicht beantwortet ist, wie gehe ich mit alten E-Mails um? Alles, was du heute mit eSmail schickst, sind nicht mehr sicher, und wenn du kein MDC verwendest, im PGP ist es auch unsicher. Das waren die interessanten Angriffe. Jetzt schauen wir uns etwas an, dass ein bisschen verrückt da ist. Alice schreibt eine E-Mail an Bord, sie verschlüsselt sie und sendet sie ein Bob. Hier ist die Original-E-Mail und jetzt macht Eve eine Angriffs-E-Mail. Sie hat Zugriff auf die PGP-Cypher-Text bekommen. Jetzt ändern wir nicht den Cypher-Text, sondern wir umgeben ihn nur mit anderen Teilen, mit html und mit html. Nur wir müssen den Cypher-Text überhaupt nicht ändern. Wenn das sie jetzt verschlüsselt wird, wird das ersetzt durch den Klartext und das Ganze wird zusammengeführt in ein Dokument. Jetzt muss ich etwas erzählen, was viele nicht zu wissen. Alle E-Mails benutzen html um die E-Mail anzuzeigen. Sie benutzt auch html um Ascii-E-Mails anzuzeigen. Sie transformieren es nur etwas, dass er wie Ascii aussieht, aber es wird tatsächlich in htmi.gl gerendert. Jetzt haben wir hier ein html Dokument und jetzt schauen wir uns hier diese E-Mail an. Wir benutzen Apple-Mail, weil das eine der zwei verwundbaren Clients war. Wir öffnen einfach nur die E-Mail um den PGP-Cypher-Text anzuschauen. Wir schauen uns den Quellcode an, das Cypher-Text und wir scrollen etwas runter und wir sehen die PGP-Message. In der nächsten Minute hat Eve irgendwie Zugriff auf diesen Cypher-Text bekommen und der Cypher-Text ist versteckt in einem Python-Programm, das einfach nur benutzt wird, um die E-Mail zu erstellen, zu generieren. Jetzt gucken wir uns das Zugriff-Slog an und wenn wir die E-Mail anklicken, dann wird exfiltriert. Also sehr einfache Angriff. Jeder kann das machen. Man muss überhaupt nicht so über Kritographie wissen. Man muss nur ein kleines bisschen html verstehen und ein kleines bisschen von MIME verstehen und man kann das auswöhnen. Aber wisst ihr was noch schlimmer ist? Wie wäre es, wenn wir ganz viele Mails exfiltrieren mit einer einzigen Angriffs-E-Mail? Wir öffnen die E-Mail. Hier ist der Cypher-Text. Hier schließen wir den Text. Hier ist der nächste Image-Text. Da kommt wieder der Cypher-Text. Das schließen wir wieder und so weiter und so weiter. Und was wir hier links sehen, sind 100 Cypher-Texts in einer einzigen E-Mail, die an den Kleinen geschickt wird. Ich habe das zensiert, weil ich ganz viele E-Mails benutzt habe, die ich dir nicht sehen sollte. Das dauert jetzt sehr lange. Es ist die ganze Zeit einem entschlüsseln, entschlüsseln, entschlüsseln. Und wenn wir auf die linke Seite schauen, ins Access-Log, dann sehen wir, 100 E-Mails wurden exfiltriert. Durch das Öffnen von nur einen einzigen E-Mail. Das ist ziemlich erschreckend. Und wenn ich sage, schrecklich, das ist furchtbar. Also, wenn wir das öffentlich machen, dann werden die Leute das innerhalb von einer Stunde ausnutzen und angreifen. Also, haben wir das öffentlich gemacht Anfang 2018. Und im Mai 2018 hatten wir schon das Veröffentlichungsdatum zweimal verschoben. Und dann haben wir gesagt, okay, jetzt gehen wir online. Und jetzt machen wir eine Vorankündigung. Wir bräuchten die Leute warnen. Wenn ihr PGP benutzt, für gefährliche Kommunikation, für kritische Kommunikation, dann solltet ihr das in eurem E-Mail klein derzeit nicht benutzen. Okay, also in einem Tag, wenn ihr das dann gemacht habt, dann werden wir alles öffentlich machen. Das ist schon die Geschichte, die die Leute, die die Leute haben, haben angefangen zu reden. Die Nupig-G-Leute haben angefangen zu Twittern darüber. Und die haben das Embargo gebrochen. Und die haben erzählt, man macht das, man macht das usw. Und das hat genervt. Aber Sie haben das hier gesagt. Das Nupig-G-Team wurde von Ihnen nicht vorher kontaktiert. Das ist erstens nicht wahr. Und das hat eigentlich jeden in der InfoSec Community in Rage versetzt. Und wir haben sehr viele Hassmails bekommen. Und ich habe sie kontaktiert. Und das hier sind die Original-Daten, als ich mit ihnen gesprochen habe. Aber es war schon zu spät. Ich meine, Sie haben es anerkannt. Oh ja, doch, ich habe es vergessen. Und es gab dann dieses Paper, E-Fail, mit unseren Namen und einem Datum. Und einen Embarko. Und die haben gesagt, sie haben es vergessen. Und ich meine, an diesem Punkt hatten wir verloren. Die Leute haben uns gehasst. Ich wurde Mörder genannt. Es war echt komisch. Wenn ihr daran interessiert seid, wie die Dinge funktionieren. Das hier ist von Thomas Tatschek. Wir haben ihn nie getroffen, aber er war so nett, das einfach öffentlich zusammenzustellen mit Informationen, die verlässlich sind. Und dann ist etwas passiert, dass wir vorhersehen konnten. Es gab Patches. Aber diese Patches waren nicht genug. Und ein paar Tage später haben die Leute neue Angriffsmethoden gefunden. Und Hanno hat gesagt, ich habe einen trivialen Bypass gefunden. E-Fail ist immer noch exploitable, immer noch angreifbar. Und er hat das Responsible Disclosed. Und die Intercept hat ein Proof-of-Concept entwickelt, der gegen App-Mail- und GBG-Tools funktioniert. Also wir hatten recht, die Leute haben Umgehungsmethoden gefunden. Und die Medien sind explodiert. Wir haben nicht wirklich verstanden, was tatsächlich passiert ist. Aber ihr müsst wissen, eine der Hauptanwendungen für PGP ist, als Journalisten. Und man zeigt ihnen, das hier ist der Angriff. Und die sagen, wow, was? Also welche Lektionen haben wir gelernt, durch das öffentlich machen? Also erst mal, die Leute haben sich beschwert, dass wir uns nicht an die 90 Tage Deadline gehalten haben. Also wir hatten mehr als 200 Tage Deadline. Und letztendlich hat es nicht Sinn gemacht, weil wir haben es immer weiter verschoben und es gab keine verlässlichen Fixes. Also wer hätten uns an die 90 Tage halten sollen, weil nachdem wir es veröffentlicht haben, gab es sofort Patches. Also seid vorsichtig mit Ankündigungen für öffentlich machen, für Disclosures. Weil wenn wir sagen, wir werden erst morgen was öffentlich machen, morgen, aber noch nicht heute, dann werden die Journalisten einfach mit irgendwem reden und die werden raten, was es ist. Und das bedeutet, dass sie das Risiko entweder unter oder überschätzen. Also entweder sagen sie entweder einfach externe Bilder ausmachen, das ist Underrating, es unterbewerten und überbewerten wäre, zu sagen PGP ist für immer kaputt. Die Leute haben Papers veröffentlicht mit falschen Informationen und das ist nicht gut. Also diese Vorankündigungen für das öffentlich machen sind nicht gut, es ist schlecht. Und den Informationszustand zu kontrollieren ist absolut wichtig. Okay, schauen wir uns die letzte Attacke an. Das ist Replied to Attack und dann werden wir das. Wir müssen die Leute von QA 53 wehnen, die haben das gefunden. Aber die haben das vor uns disclosed und der Kredit geht daher an sie. Wenn ich ein E-Mail bekomme, ein sinnvoll erscheinendes, schaut nicht schlecht aus, das E-Mail. Und die Person will, dass ich, das ist die E-Mail, ich will mich irgendwie überzeugen, dass ich zurückschreiben soll. Das ist eine alte Version von Mail, die wir hier verwenden. Das ist die E-Mail. Ich antworte darauf. Ich frage mich, ja, wollen Sie ein Appointment? Ja, das treffen wir uns. Das ist die Attacke E-Mail. Wenn ich genau hinschaut da unten, das seht ihr irgendwas, das könnte da nicht rein. Und schauen wir uns ein Plentext von der E-Mail an. Das ist die Source Code der E-Mail. Wir fahren da runter. Wir entdecken hier eine Mischung zwischen meinem E-Mail-Text. Es gibt da unten einen Selfie-Text. Was passiert ist, ich bekomme diese E-Mail. Ich lehse es nicht, weil ich skole meine Mails nicht darunter. Aber es wird ins Lüschlutland. Der Angeifer hat mir ein E-Mail geschickt, wo den Selfie-Text hin war. Er hat es entschlüsselt und ich habe den Plentext zurückgelegt. Das ist zwar dumm, aber auch dagegen gibt es ... Die Frage, die du da mal stellen musst, bist du das Ziel eines Angriffs? Das muss nicht gleich die NSA sein. Das können die Moldavien sein oder irgendwelche bösen Menschen, die halt irgendwie Böses wollen. Das passiert eigentlich die ganze Zeit. So ist das halt. Wenn man sich sagt, möglicherweise, wenn du eine wirklich secure Communication brauchst, kann man das nicht. Es gibt aber niemanden, die nicht alles über Signal schicken. Wenn du das nicht kannst, dann verwendet OpenBGP und fährst Lüschlut außerhalb des Clients. Die meisten von euch haben keine Bedrohung. Es sollte immer noch OpenBGP gegenüber S-Mail vorziehen. S-Mail ist immer noch broken. Es ist zwar was in der Pipeline, aber es ist noch nicht da. Dann schaltet HTML aus. Auch für verschlüsselte E-Mails. Seid vorsichtig mit Anschlüssen, mit Attachments. Aber denkt daran, dass nicht alle so wie ihr seid, die ihr, die ihr seid. Wie kann man mit Attachments vorsichtig sein? Also, und soll nichts zitieren, wenn man ihn antwortet. Wir gehen jetzt zum Chaos West, mit einer großen Halle. Dort könnt ihr mit uns weiter diskutieren. Das war mein Talk. Danke schön, Sebastian, für diesen Talk. Wir sollten noch Zeit haben für Fragen. Bitte seht euch hinter die Mikrofone. Seid präzise und kurz. Bitte geht nah an das Mikrofonrahmen. Ich habe die HTML-Exfiltration, die du beschrieben hast, getestet. Ich habe im Thunderbird herausgefunden, dass das HTML-Passing gegen die Angriff geholfen hat. Ich habe die HTML-Passing entstanden. Ich habe den Thunderbird herausgefunden, dass das HTML-Passing gegen die Angriff geholfen hat. Es hat keine Möglichkeit, die Message zu exfiltrieren, weil es keine Möglichkeituren gibt, die die Texte zu exfiltrieren. Ja, das war eine der Fixes, was Sie gemacht haben. Es hilft nicht bei der Kryptographie, aber es macht die Exfiltration schwieriger. Interessant, die Version von vorher in diesem Jahr auszutessen, habe ich. Ja, okay, dann reden wir später nochmal. Wir haben Leute im Internet, die eine Frage stellen würden, also bitte eine Frage aus dem Internet. Es gab tatsächlich viele Fragen in die Richtung Probleme mit dem Mindstand-Standard. Zum Beispiel, wäre die Exfiltration nicht verhindert, wenn die E-Mail-Client den Standard komplett richtig angehen würden? Ich bin mir nicht ganz sicher, ob sie den Mindstandard meinen oder den S-Mindstandard. Der Mindstandard ist direkt dafür verantwortlich für die Exfiltrationsattacke. Und der Mindstandard sagt nicht genau, wie man damit umgehen soll. Es gibt keine Regel dafür. Als Daumenregel kann man aber links sagen, wenn man sich genau in den Mindstandard gehalten hat, dann war man verwundbar. Und wenn man faul war und nicht alles entschuldigt hat, dann war man sicher. Also wenn man sich nicht komplett an den Standel gehalten hat, dann war man sicherer, was komisches. Bitte remember to be concise and get close to the microphone. What do you see as a future replacement to PGP? Was siehst du als Zukunftsausweichmethode für PGP? Ja, wir haben ein bisschen gebrainstormt, weil PGP hat leider viele der modernen Features nicht, wie Forward Secrets und so was. Aber es stellt sich raus, es ist nicht so einfach zu machen, weil wir wollen keine Änderungen an SMTP und IMAP machen. Also es wird sehr schwierig, das Ganze sicherer als PGP zu machen, abgesehen vielleicht von der Kritik, die sowieso schon da ist. Also E-Mail ist kein besonders gutes Protokoll. Also die Protokolle, die in E-Mail reingebaut wurden, sind einfach nicht besonders gut für Kryptografie. Es gibt einen Fix. Die Mail-Klines sind gefixt. two if i see this correctly so do i understand it correctly looks like there won't be a fix for that multi-part attacks like there is a normal main text so the attacker writes and then there is a text which my mage nine decrypts there won't be a fix for that. Also es gibt ein fix die mage lines sind gefixt weil das ist kein breaking fix der der nicht alles kaputt macht wir können nicht es mein fixen weil das komplett erst mal zerstören würde aber wir können die e-mail clients fixen was schwierig ist weil diese mein part ziemlich komplex ist aber die direkte exkretation funktioniert nicht mehr mit mail wir haben noch ein bisschen zeit für fragen noch eine frage aus dem internet ein user fragt würdest du entwickeln empfehlen pgp in die e-mail clients zu integrieren statt auf erweiterung zu beruhen ich habe schon darüber gesprochen nicht viele leute benutzen pgp und noch viele noch auch nicht viele leute benutzen es mein ich bin mir nicht sicher ob sich das erhöhen wird wenn open pgp in die meisten clients eingebaut wird weil man könnte auch es mein verwenden sobald es mein gefixt ist wird es okay sein es mein zu verwenden und es ist schon in alle clients integriert aber noch nicht viele leute benutzen ist also es wäre nettes zu haben aber ich glaube nicht es würde einen großen effekt haben auf die anzeige leute dies benutzen und wir haben noch eine question from microphone number seven yes hello so i work with journalists here here here so i work with journalists and and may was very annoying and i cannot stress enough how important it is to do what the point of made about communicating around disclosure we were scrambling i work with about 200 journalists who use pgp daily and we were scrambling for any bit of information what what should we do it was it was madness but i actually have a question that we can get a question is have you played with mail pile i read i've read the paper in the paper mail pile i think i remember was mentioned and i remember it was mentioned in a positive light but i just want to make sure if that's the right positive event i think that i should get the paper was positive event und ich möchte wissen stimmt das ich kann mich nicht mehr so spontan daran erinnert aber wenn du später an zu kaos west kommst dann können wir uns das paper anschauen und die test angucken und nochmal drüber reden wir haben another question on the microphone number six und noch eine frage von microphone 6 i'd like to know if there's any difference in the attack surface in the open obafläche bezüglich open pgp like plain pgp is used in line pgp nicht mehr erlaubt ja das ist eine sehr gute frage die an den angreifer antworten an griff leute haben einen angreif gefunden der mit in line pgp benutzt aber es gibt auch einen angreif wir haben herausgefunden dass es auch geht mit pgp maim die meisten leute benutzen pgp maim pgp in line ist nicht mehr so weit verbreitet das problem ist wenn pgp in line nicht entschlüsselt wird oder die leute das in einer externen applikation benutzen dann können sie den ciphertext nicht kopieren was auch sehr nervig ist und ich habe schon gesagt es ist eine sehr gute idee das außerhalb des melkleins zu machen wenn man motivierte angreifer hat es wäre ein eine kaputtmachende verängerung eine wichtige veränderung die vielleicht nicht so gut wäre ich glaube dass wir jetzt mit der diskussion hier in der halle fertig sind ihr kennt jetzt zu ks west in die halle 3 die ist einfach die nächste halle um das weiter diskutieren