Werbung
Das US-Magazin Wired berichtet, dass viele große Unternehmen auf zu kurze Schlüssel für ihre digitale Signaturen ihrer E-Mails setzen. Der Mathematiker Zachary Harris hatte dies bei einer von Google erhaltenden E-Mail entdeckt. Die DKIM-Schlüssel werden dafür verwendet, um sicherzustellen, dass die versendete Mail auch wirklich von der jeweiligen Domain stammt.
Er informierte daraufhin Google-CEO Larry Page, dass die Schlüssel mit lediglich 512-Bit-Verschlüsselung nicht ausreichend seien. Um Page zu überzeugen, schickte Harris die Mail aber nicht in seinem eigenen Namen, sondern signierte die Mail im Namen von Mitbegründer Sergey Brin. Er erhielt zwar weder im Namen von Page noch von Brin eine Antwort, konnte aber feststellen, dass die Länge nun 2.048 Bit beträgt. Auf Anfrage von Wired bestätigte Google dies.
Zu den anderen großen Unternehmen, die auch einen zu kurzen DKIM-Schlüssel verwenden, gehören Twitter, eBay oder Yahoo. Auch der Online-Versandriese Amazon reiht sich mit in die Reihe der schwarzen Schafe ein. All diese Seiten verwenden wie Google eine 512-Bit-Verschlüsselung. PayPal immerhin setzt auf eine 768-Bit-Verschlüsselung, die Harris aber auch für zu kurz hält. Er empfiehlt mindestens eine Länge von 1.024 Bit und hat die betroffenen Unternehmen in einer Mail darauf hingewiesen. Einige von diesen haben bereits darauf reagiert und ihre DKIM-Schlüssel überarbeitet.