Hallo,
ich nutze u. a. GPG4Win zur Kommunikation und dem Datenaustausch mit dem BSI. Im Zuge einer Datenübermittlung ist mir folgendes Verhalten aufgefallen, was ich als problematisch erachte:
Voraussetzung:
- Windows 11 Pro
- Version 5.0.2 von GPG4Win
- Es sollen mehrere Dateien oder ein kompletter Ordner mittels S/MIME-Zertifikat verschlüsselt und signiert übertragen werden
- Die Dateien werden vor der Verschlüsselung und Signierung nicht mittels ZIP-Programm gezippt
Folgen:
- GPG4Win/Kleopatra erzeugt zwei Dateien, einmal eine .p7m-Datei und einmal eine .p7s-Datei.
- Ich würde nun erwarten, dass die .p7m-Datei eine verschlüsselte Datei ist und die .p7s-Datei die Signatur zur .p7m-Datei
- Dies ist, im Gegensatz zur Verwendung eines GPG-Keys, bei der Verwendung eines S/MIME-Zertifikats nicht der Fall
- Die .p7m-Datei enthält korrekt und verschlüsselt alle zu übertragende Dateien.
- Die .p7s-Datei enthält ebenfalls alle zu übermittelnden Dateien, nur um die digitale Signatur des Absenders ergänzt.
- Achtet man bei der Übermittlung der Dateien nicht darauf und versendet beide Dateien, in der Annahme, die .p7m-Datei enthält verschlüsselt die Daten und die .p7s-Datei “nur” die digitale Signatur zur .p7m-Datei des Absenders, kann jemand auf alle Dateien zugreifen, ohne über einen eigenen privaten Schlüssel zu verfügen, da die .p7s-Datei von jedermann zu öffnen ist und nur die Absendersignatur geprüft wird, gleichzeitig aber alle Dateien enthält.
- Das Verhalten tritt nicht auf, wenn man eine einzelne Datei mit einem S/MIME-Zertifikat verschlüsselt und signiert, dann wird korrekt eine verschlüsselte .p7m-Datei und die dazugehörige Signatur (.p7s) erzeugt.
- Nutzt man GPG/PGP-Schlüssel ist das Verhalten korrekt und man erhält eine verschlüsselte Datei mit integrierter Signatur.
Ich finde das Verhalten grenzwertig und problematisch, insbesondere da, wenn nur eine Datei verschlüsselt und signiert wird, alles korrekt ist, während bei mehreren Dateien das oben beschriebene Verhalten auftritt. Nur wer genau hinsieht und Dateigrößen vergleicht, wird ggf. stutzig werden und kontrollieren.