Eine Forschergruppe hat sich mit dem aktuellen Stand der Verschlüsselung bei E-Mails (und Chat) beschäftigt und dazu eine Inventur im Internet durchgeführt. Sie kommen zu einem durchaus schlechten Ergebnis und publizieren dies nun bei Arxiv.org.
Methode
In einem großangelegten Scan über das gesamte IPv4-Internet sammelten die Forscher für E-Mmail- und Chatdienste die verwendeten PKI Zertifikate, die genutzten Cipher, die kryptographischen Parameter und die angebotenen Methoden zur Anmeldung für den Nutzer.
Zugleich sammelten die Forscher durch passives Zuhören die Daten von über 50.000 Nutzern und insgesamt 16 Millionen Verbindungen.
Ergebnisse
Zu den Ergebnissen der Untersuchung gehört u.a. dass die meisten Server eine aktuelle TLS-Verschlüsselung (TLS1 oder besser) anbieten. Nur 0.02% der gescannten Server boten das veraltete SSLv3 an. Zugleich wurden allerdings 1.74% der tatsächlichen Verbindungen mit dieser veralteten Version durchgeführt. Die Studie bietet dazu zwei mögliche Erklärungen: Entweder bevorzugen die Clients eine schwächere Verschlüsselung obwohl ein besseres Verfahren angeboten wird oder die Clients unterstützen nur die schwache Verschlüsselung. Dies wäre z. B. bei veralteten Clients eine Erklärung.
Bei der Nutzung der Serverzertifikate hat sich gezeigt, dass nur bei 30-40% der Server eine vollständig korrekte Zertifikatskette gefunden wurde. Dieser Wert ist deutlich schlechter als bei Webservern, die einen Wert von ca. 60% bei den Top 1 Million-Servern erreichen. Hauptursache für Zertifikatsfehler waren selbstsignierte Zertifikate. Dies führt dazu, dass der Nutzer die Gültigkeit des Zertifikates nicht automatisch prüfen kann.
Für die Anmeldeverfahren bei E-Mails wurde festgestellt, dass hauptsächlich (> 90%) unsichere Klartextverfahren (PLAIN oder LOGIN) genutzt wurden.
Fazit
Die Forscher kommen zu einem deprimierenden Ergebnis:
„Across the whole Internet, we found a worryingly high number of poorly secured servers. This was either due to the parameters and cipher they used, or due to invalid or duplicated cryptographic material. Moreover, an overwhelming number of clients were offered to authenticate using insecure method, regardless of whether a secure channel was used.”
A silver lining to this finding is that there are significantly better deployments in the most used services, and a majority of the observed clients connected using reasonably secure parameters, when they did request encryption.“
Es bleibt noch viel zu tun.
Olaf Michel
18. November 2015 @ 22:42
Es bleibt zu hoffen, dass vielleicht die Let’s Encrypt Initiative (letsencrypt.org) an der Quote etwas ändern kann und mehr Leute (auch Privatpersonen oder Kleinstunternehmen) eine Verschlüsselung ihrer Website anbieten. Damit könnte sich auch vielleicht die Quote von Servern mit korrekter Zertifikatskette erhöhen.
Dagaz
7. November 2015 @ 9:21
„Nur 0.02% der gescannten Server boten das veraltete SSLv3 an. Zugleich wurden allerdings 1.74% der tatsächlichen Verbindungen mit dieser veralteten Version durchgeführt.“
Die offensichtlichste Erklärung haben die Forscher offenbar übersehen: 0,02% beieht sich auf Server, 1,74% auf Traffic, der von Usern generiert wird. Vielleicht sind das einfach nur „große“ Server mit sehr vielen Nutzern,
Am insgesamt deprimierenden Ergebnis würde aber auch das wenig ändern.