Elcomsoft

Nikons Foto-Validierungssystem geknackt

Nikons Echtheitsprüfung für Digitalkamerafotos ist nach Angaben des russischen Softwarehauses Elcomsoft geknackt worden. Nun können beliebige Bilder mit dem Echtheitszertifikat manipuliert werden und es ist nicht mehr sicher, dass sie ohne Änderungen direkt aus den Nikon-Kameras stammen.

Anzeige

Nikons Image Authentication System stellt sicher, dass es sich bei einem Foto um ein unbearbeitetes Original aus einer Kamera des japanischen Herstellers handelt. Herzstück sind ein Verschlüsselungssystem in der Kamera und eine Software zum Überprüfen der Signatur. Elcomsoft hat nun mehrere Fotos veröffentlicht, die definitiv nicht aus einer Nikon-Digitalkamera stammen, aber vom Image Authentication System dennoch als echt eingestuft werden.

Elcomsoft hat nach eigenen Angaben eine Schwachstelle in der Kameratechnik gefunden, die es ermöglicht, den privaten Schlüssel zu extrahieren. Die Sicherheitslücke ermöglicht es, gefälschte Bilder zu erzeugen, die von Nikons Image Authentication System als authentisch identifiziert werden. Auch Canon hat ein solches System entwickelt, das von Elcomsoft schon Ende 2010 geknackt wurde.

Höherwertige Nikon-Spiegelreflexkameras fügen beim Speichern der Fotos eine digitale Signatur ein. Technische Details hat Nikon dazu nicht veröffentlicht. Elcomsoft fand heraus, dass die Bild-Metadaten und die eigentlichen Bilddaten unabhängig voneinander mit einer SHA-1-Hashfunktion behandelt werden. Daraus entstehen zwei 160 Bit große Hashwerte, die später mit einem geheimen, privaten Schlüssel mit dem Algorithmus RSA 1024 verschlüsselt werden. Daraus entsteht eine digitale Signatur. Die beiden 1.024-Bit-Signaturen speichert Nikon im Exif-Feld Makernote 0x0097 (Color Balance).

Bei der Validierung errechnet die Nikon-Image-Authentication-Software von den Bildern ebenfalls zwei SHA-1-Hashwerte und verwendet den öffentlichen Schlüssel, um die Signaturen zu überprüfen. Nach Angaben von Elcomsoft ist der private Schlüssel aber nicht gut geschützt. Er kann von der Kamera ausgelesen werden - und danach eine valide digitale Signatur von jedem beliebigen Bild erzeugen.

Elcomsoft hat Nikon und das CERT über die Sicherheitslücke informiert und einige Bilder erstellt, die vom Image Authentication System als echt bezeichnet werden. Nikon hat sich bislang dazu gegenüber Elcomsoft nicht geäußert. Auch Canon hat nach Angaben des Softwarehauses seine Sicherheitslücke in seiner eigenen Validierungssoftware nicht behoben. Nikon nutzt die Sicherheitsfunktion in den Modellen D3X, D3, D700, D300S, D300, D2Xs, D2X, D2Hs und D200.

Einige der von Elcomsoft erstellten Bildmanipulationen, die als valide erkannt werden, hat das Unternehmen online gestellt. Dazu ist Nikons Image-Authentication-Software erforderlich. Sie kostet rund 500 Euro.

Kommentarübersicht
Re: Was hat das CERT damit zu tun?
janpi3 29. Apr 2011

Frag ma Geohotze oder Graf_choko oder wie die 2 geschrieben werden. Soll ja Firmen geben...

Re: Das kann ich auch!
Himmerlarschund... 29. Apr 2011

Das Foto von einem Foto will ich sehen, dass qualitativ auch nur ansatzweise wie das...

Kommentieren

Trackbacks
Anzeige
Anzeige
Stellenmarkt
  1. Software Ingenieur Safety (m/w)
    infoteam Software AG, Bubenreuth bei Erlangen oder Dortmund
  2. Inhouse Consultant (m/w)
    PAYBACK GmbH, München
  3. Solution Architect (m/w)
    Loyalty Partner Solutions GmbH, Frankfurt
  4. Fachexperte (m/w) SAP-Basis
    über Invenimus Personalberatung GmbH, Großraum Leipzig

 

Detailsuche

Folgen Sie uns
       
Videos
Nokia Asha 501 - Trailer Nokia Asha 501 - Trailer
Ticker
  1. Xbox One

    Forza 5 und Halo-Serie von Spielberg kommen für Xbox One

  2. Microsoft

    Xbox One mit neuer Kinect und Blu-ray-Laufwerk

  3. Datennetz

    Bundesweite Störung beim mobilen Internet der Telekom

  4. Heavy Gear Assault

    Mech-Action auf Basis der Unreal Engine 4

  5. Superkondensator

    Neuer Energiespeicher mit kurzer Ladezeit

  6. Ruckus Wireless

    Telefonzellen werden zu Gratis-Hotspots

  7. Engine

    Unity-Basis kostenlos mit Mobile-Werkzeugen

  8. Drosselung

    Ein Drittel aller Filme wird als Video-on-Demand geliehen

  9. Wikileaks

    Wau-Holland-Stiftung kann nur noch die Server bezahlen

  10. Surface Pro im Test

    Microsofts Tablet überzeugt als Notebook

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Web Components
Web Components: HTML-Elemente selber bauen
Web Components
HTML-Elemente selber bauen

Mit Web Components, die derzeit vom W3C standardisiert werden, kann sich jeder seine eigenen HTML-Elemente bauen - samt Aussehen und Logik - und sie wie Standardelemente in HTML-Dokumenten nutzen. Mit Googles neuer Bibliothek Polymer funktioniert das auch in den heute verfügbaren Browsern.

  1. Chrome 26 Beta Verbesserte Rechtschreibkorrektur und Template-Unterstützung
Cyberwar
Tallinn-Manual: Regierung äußert sich zu Nato-Regeln zum Töten von Hackern
Tallinn-Manual
Regierung äußert sich zu Nato-Regeln zum Töten von Hackern

Das Tallinn-Manual der Nato, das im Cyberwar das Töten von Hackern erlaubt, beschäftigt jetzt auch die Bundesregierung. "Es obliegt nicht der Bundesregierung, eine breite gesellschaftliche Debatte über die Regeln zu führen", heißt es trocken.

  1. Cyberwar Experten halten Stuxnet-Einsatz für Gewaltanwendung
  2. Cyberwar BND errichtet Abteilung zur Abwehr von Hackerangriffen
  3. Cyber Defense Nato-Papier gibt Hacker zum Abschuss frei
Flash-Speicher
Sandisk und Toshiba: Flash-Speicher wird kleiner
Sandisk und Toshiba
Flash-Speicher wird kleiner

Sandisk und Toshiba kündigen die Einführung eines neuen Herstellungsprozesses für Flash-Speicher an. Der von Sandisk als 1Ynm bezeichnete Prozess bringt mehr Speicherkapazität auf weniger Raum unter.

  1. Flashsystem IBM steckt 1 Milliarde US-Dollar in Flash-Speicher
  2. Fusion-io 9,6 Millionen IOPS mit einem einzelnen ioDrive2
Forumsbeiträge »
  1. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: Hat die Xbox dann einen DVB-C/T/S Anschluss...

    Konfuzius Peng | 02:14

  2. Hochauflösend Samsung zeigt Notebookdisplay mit 3.200 x 1.800 Pixeln

    Re: Welches Betriebssytem?

    regiedie1. | 02:02

  3. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: So ein Mist: Gebrauchtspielsperre, Kinect...

    HierIch | 01:57

  4. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: "Wer seine Disc weiterverkaufen möchte,..."

    JP | 01:55

  5. Superkondensator Neuer Energiespeicher mit kurzer Ladezeit

    Qualitätsjournalismus...

    derJimmy | 01:49

Ticker »
  1. Xbox One Forza 5 und Halo-Serie von Spielberg kommen für Xbox One

    21:12

  2. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    19:48

  3. Datennetz Bundesweite Störung beim mobilen Internet der Telekom

    19:04

  4. Heavy Gear Assault Mech-Action auf Basis der Unreal Engine 4

    18:51

  5. Superkondensator Neuer Energiespeicher mit kurzer Ladezeit

    18:07

  6. Ruckus Wireless Telefonzellen werden zu Gratis-Hotspots

    16:48

  7. Engine Unity-Basis kostenlos mit Mobile-Werkzeugen

    16:24

  8. Drosselung Ein Drittel aller Filme wird als Video-on-Demand geliehen

    15:04

Zum Artikel