M3AAWG: Vertrauen zu DKIM-Signaturen stärken

Die Messaging, Malware and Mobile Anti-Abuse Working Group, M3AAWG, hat die Anwender des Authentifizierungssystems DKIM aufgefordert, den Verschlüsselungsschutz der digitalen Signaturen zu verbessern und Schlüssel von mindestens 1024 Bit Länge zu verwenden.

Die Technologie DKIM (DomainKeys Indentified Mail) wird standardmäßig von vielen Unternehmen, Behörden und großen E-Mail-Providern genutzt. Eine mit diesem System erstellte verschlüsselte Signatur soll die Authentizität der Domain bestätigen, die in der Adresse des Absenders angegeben ist, und so Fälschungen ausschließen – wie sie z.B. fürs Phishing erstellt werden. Die Möglichkeit einer solchen Fälschung wurde allerdings kürzlich von einem Mathematiker aus Florida unter Beweis gestellt. Mit Zugriff auf einen kostengünstigen „Cloud“-Cluster knackte er einen 512-Bit-Chiffrierungsschlüssel von Google innerhalb von 3 Tagen. Wie sich herausstellte, verwendet nicht nur Google, sondern auch viele andere Anhänger der Technologie DKIM, wie etwa Microsoft, PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, HP und HSBC, Schlüssel mit einer Länge von weniger als den empfohlenen 1024 Bit, da sie für ausreichend sicher gehalten werden. Überdies sehen einige Empfänger die im Testmodus veröffentlichte DKIM-Signatur als Fälschung an, was ebenfalls den RFC-Empfehlungen widerspricht.

Nachdem sich das amerikanische CERT (Computer Emergency Readiness Team) von den Risiken überzeugt hatte, gestand es öffentlich das Vorhandensein von Fehlern in den neusten Umsetzungen von DKIM ein, und empfahl den Freunden dieser Technologie sich an die Basisspezifikationen RFC 6376 zu halten. M3AAWG tritt ebenfalls dafür ein, dass die Kryptodatenbanken von DKIM angepasst werden und veröffentlichte eine Reihe von nützlichen Tipps:

  • Die Länge der für die Erstellung von DKIM-Signaturen verwendeten Schlüssel sollte mindestens 1024 Bit betragen.
  • Die Schlüssel sollten einmal pro Quartal geändert werden.
  • Über die Einstellungen sollte mit jedem Austausch des Schlüssels die digitale Signatur abgeschafft werden, und die veralteten offenen Schlüssel sollten rechtzeitig zurückgerufen werden, indem die Eintragungen im DNS geändert werden.
  • Die Testphasen sollten verkürzt werden und bei der Umstellung des DKIM-Systems in den Arbeitsmodus sollten die Testschlüssel sofort zurückgerufen werden.
  • DKIM sollte um das Authentifizierungsprotokoll DMARC (Domain-based Message Authentication, Reporting and Conformance) ergänzt werden, das im Monitoringmodus laufen und die Häufigkeit der Verbindungen zu seinen Schlüsseln über das DNS verfolgen sollte.
  • Es sollte DKIM verwendet werden, und nicht der Vorläufer DomainKeys, welches weniger effektiv ist.
  • Die oben beschriebenen Verhaltensregeln sollten bei Partnern eingebürgert werden, die E-Mail-Dienste leisten.

Quelle:

M3AAWG

M3AAWG Best Practices for Implementing DKIM (pdf)

wired.com

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.