Cryptography Reference
In-Depth Information
E-Mails auf verschiedene Weise markieren, ohne sie auf ihren Rechner herunter-
zuladen. IMAP ist zudem nicht nur für das Abholen von E-Mails geeignet, son-
dern dient auch dem Zugang zu News-Gruppen und anderen Datensammlungen.
36.4.1
Gefahren beim Abholen von E-Mails
Es versteht sich von selbst, dass das Abholen von E-Mails mit POP oder IMAP
ein enormes Sicherheitsrisiko in sich birgt. Wenn es Mallory gelingt, sich gegen-
über dem Server als Alice auszugeben, dann kann er alle für Alice bestimmten
E-Mails auf seinen Rechner laden. Alice bekommt diese E-Mails nicht und
bemerkt möglicherweise nicht einmal, dass etwas fehlt. Zudem kann Mallory
sich auch damit begnügen, Alices Kommunikation mit dem Mailserver abzu-
hören, um so die übertragenen Mails mitzulesen.
Wenn Alice nur E-Mails zugesendet bekommt, die mit S/MIME oder Open-
PGP verschlüsselt sind, dann kann Mallory mit einer unberechtigten POP- oder
IMAP-Anfrage wenig ausrichten. Allerdings werden in der Praxis nur wenige
E-Mails verschlüsselt. Außerdem kann Mallory bei einer verschlüsselten Mail
erkennen, von wem sie stammt, was eine Verkehrsflussanalyse ermöglicht. Wenn
Mallory besonders durchtrieben ist (wovon wir ja ausgehen), dann bietet sich fol-
gender Angriff an: Über einen unrechtmäßigen POP- oder IMAP-Zugriff lässt er
alle verschlüsselten E-Mails verschwinden. Alice denkt dann vielleicht, dass der
Mailserver mit dem neumodischen Verschlüsselungskram nicht zurechtkommt,
und bittet Bob, seine Mails an sie nicht mehr zu verschlüsseln. Anschließend hat
Mallory leichtes Spiel.
Trotz des offensichtlichen Sicherheitsrisikos sahen die ursprünglichen Versio-
nen von POP und IMAP keinerlei Kryptografie vor - lediglich eine Passwortab-
frage wurde unterstützt. Zum Glück hat sich inzwischen einiges getan, und des-
halb gibt es heute mehrere (vielleicht sogar zu viele) Krypto-Zusätze für IMAP
und POP.
36.4.2
Krypto-Zusätze für IMAP
IMAP ist im Vergleich zu POP das modernere Protokoll. Deshalb gibt es hier
auch mehr Möglichkeiten für eine kryptografische Absicherung.
IMAP Authentication Mechanisms
In [RFC1731] werden drei IMAP-Zusätze für eine sichere Authentifizierung (und
teilweise auch für die Verschlüsselung) von E-Mail-Abfragen beschrieben (
IMAP
Authentication Mechanisms
). Dabei handelt es sich um folgende Zusätze:
■
Kerberos
: Dieser Zusatz ermöglicht eine Nutzung von Kerberos zur Authenti-
fizierung und Verschlüsselung.
