Von Klartextpasswörtern und schwachen Schlüsseln

Abstract

Alles begann mit einer merkwürdigen Beobachtung: Warum verwenden mehrere Krankenkassen denselben Schlüssel zur E-Mail-Verschlüsselung? Was Ende 2022 als Untersuchung der Telematik-Infrastruktur begann, entwickelte sich schnell zu einer unerwarteten Odyssee durch die Welt öffentlicher LDAP-Server. Unser ursprünglicher Plan war simpel: öffentlich verfügbare Verzeichnisdienste nach S/MIME-Zertifikaten durchsuchen und die dahinterliegende PKI analysieren. Stattdessen fanden wir zunächst etwas ganz anderes – Millionen Klartext-Passwörter sowie große Mengen personenbezogener Daten auf öffentlich zugänglichen Servern. Aus dieser Entdeckung entstand die Studie „Landscape“ zur Sicherheit öffentlicher LDAP-Server. Schließlich konnten wir uns wieder unserem ursprünglichen Ziel widmen: einer groß angelegten Analyse der S/MIME-PKI, die wir 2025 als “S/MINE“ veröffentlicht haben. In diesem Vortrag erzählen wir die Geschichte hinter diesen beiden Arbeiten, von unerwarteten Funden auf LDAP-Servern bis hin zu schwachen Schlüsseln in der Praxis, und zeigen, was dabei über den Zustand von Verzeichnisdiensten, Zertifikaten und E-Mail-Verschlüsselung ans Licht kam.