• IT-Karriere:
  • Services:

Anwaltspostfach: Die unnötige Ende-zu-Mitte-Verschlüsselung von BeA

Beim besonderen elektronischen Anwaltspostfach wird angeblich eine Ende-zu-Ende-Verschlüsselung eingesetzt - dabei sind die privaten Schlüssel nicht in der Hand der Nutzer, sondern in einem Hardware Security Module gespeichert. Wir erklären, wie es besser gehen würde.

Artikel von Hanno Böck veröffentlicht am
In dieser leicht verständlichen Darstellung erläutern Atos und die Bundesrechtsanwaltskammer, wie man eine Ende-zu-Ende-Verschlüsselung ohne Ende-zu-Ende-Verschlüsselung umsetzt.
In dieser leicht verständlichen Darstellung erläutern Atos und die Bundesrechtsanwaltskammer, wie man eine Ende-zu-Ende-Verschlüsselung ohne Ende-zu-Ende-Verschlüsselung umsetzt. (Bild: BRAK / Atos)

Das besondere elektronische Anwaltspostfach (BeA) der Bundesrechtsanwaltskammer ist zur Zeit offline - aufgrund von Sicherheitslücken mit HTTPS-Zertifikaten. Doch die Zertifikate sind nicht das einzige Problem des BeA.

Inhalt:
  1. Anwaltspostfach: Die unnötige Ende-zu-Mitte-Verschlüsselung von BeA
  2. Rechtsanwältin Alice fährt in den Urlaub

Laut der Informationsseiten der Bundesrechtsanwaltskammer nutzt das BeA eine Ende-zu-Ende-Verschlüsselung. Allerdings stimmt das nicht. Denn die Nachrichten werden nicht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, sondern mit einem Postfachschlüssel, der sich in einem Hardware Security Module (HSM) befindet. Das HSM nimmt dann eine "Umschlüsselung" vor, bei der die Nachrichten mit dem Schlüssel des Empfängers neu verschlüsselt werden.

Ende-zu-Ende oder eher Ende-zu-Mitte-Verschlüsselung?

Dass es sich dabei trotzdem um eine Ende-zu-Ende-Verschlüsselung handelt, begründet die Bundesrechtsanwaltskammer so: Bei der Umschlüsselung wird nur ein symmetrischer Schlüssel entschlüsselt, mit dem die eigentliche Nachricht verschlüsselt ist. Die Nachricht liegt also nie im Klartext vor - wenn alles so arbeitet wie vorgesehen. Die gesamte Sicherheit des Systems hängt also davon ab, dass das HSM korrekt arbeitet und die Schlüssel auch nicht extrahiert werden können. Überprüfen kann ein Anwender das natürlich nicht, er muss auf die Infrastruktur vertrauen.

Hardware Security Modules sind so gebaut, dass eine Extraktion des Schlüssels möglichst schwierig ist. Dabei soll sowohl eine Extraktion mittels Software als auch eine gewaltsame Öffnung der Hardware verhindert werden. Doch ein solcher Schutz ist nie perfekt: Die im HSM arbeitende Software kann beispielsweise wie jede Software Bugs enthalten. Auch lässt sich eine gewaltsame Öffnung nie mit Sicherheit verhindern.

Stellenmarkt
  1. Schaeffler Digital Solutions GmbH, Chemnitz
  2. Hays AG, Stuttgart

Auf einer neu bereitgestellten Informationsseite beantwortet die Bundesrechtsanwaltskammer nun einige Fragen dazu und erläutert auch die Verschlüsselung, wenngleich nur sehr oberflächlich. Auch hat die Rechtsanwaltskammer Hamburg Slides von einer Präsentation des Herstellers bereitgestellt.

HSM ist alternativlos - oder nicht?

"Die funktionalen Anforderungen und die Sicherheitsanforderungen an das BeA-System können nur unter Verwendung einer Umschlüsselungs-Komponente umgesetzt werden", heißt es auf der Informationsseite der Rechtsanwaltskammer. "Ein HSM ist hierfür die einzige zur Verfügung stehende Lösung zur Umsetzung der Anforderungen an das System."

Man könnte das so lesen: Der Einsatz eines HSMs ist zwar keine besonders elegante Lösung, aber für die Anforderungen des BeA quasi alternativlos. Der Grund dafür ist, dass ein Postfachinhaber festlegen können soll, dass seine Nachrichten an andere Personen weitergeleitet werden.

Doch eine solche Weiterleitungsfunktion ließe sich auch ganz ohne ein HSM lösen - und mit einer echten Ende-zu-Ende-Verschlüsselung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Rechtsanwältin Alice fährt in den Urlaub 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Gromran 20. Mär 2018

Das Thema ist rechtlich deutlich komplexer. Es geht ja nicht nur um Urlaubsvertretung...

Gromran 20. Mär 2018

Es "macht" nie etwas Sinn, es "hat" höchstens etwas Sinn. So schwer ist die deutsche...

pommesmatte 29. Jan 2018

Eve liest nur mit (Eavesdropping). Ein Man in the Middle wäre Mallory.

pommesmatte 29. Jan 2018

Du hast in allen Punkten an mir vorbei geredet.

beA-Veteran 28. Jan 2018

...wenn die Anwältin dauerhaft verschiedene Mitarbeiterinnen und Mitarbeiter am Postfach...


Folgen Sie uns
       


Command and Conquer Remastered - Test

Nach Desastern wie Warcraft 3: Reforged ist die gelungene Remastered-Version von C&C eine echte Erfrischung.

Command and Conquer Remastered - Test Video aufrufen
Thinkpad Trackpoint Keyboard 2 im Test: Tolle kompakte Tastatur für Thinkpad-Fans
Thinkpad Trackpoint Keyboard 2 im Test
Tolle kompakte Tastatur für Thinkpad-Fans

Lenovos externe Thinkpad-Tastatur bietet alle Vorteile der Tastatur eines Thinkpad-Notebooks. Sie arbeitet drahtlos und mit Akkutechnik.
Ein Test von Ingo Pakalski

  1. Thinkpad X1 Fold Das faltbare Thinkpad kommt im Oktober
  2. Thinkpad X1 Nano Lenovo macht das Carbon winzig
  3. Thinkpad E14 Gen2 (AMD) im Test Gelungener Ryzen-Laptop für 700 Euro

Oneplus 8T im Test: Oneplus gutes Gesamtpaket kostet 600 Euro
Oneplus 8T im Test
Oneplus gutes Gesamtpaket kostet 600 Euro

Das Oneplus 8 wird durch das 8T abgelöst. Im Test überzeugen vor allem die Kamera und die Ladegeschwindigkeit. Ein 8T Pro gibt es 2020 nicht.
Ein Test von Tobias Költzsch

  1. Bloatware Oneplus installiert keine Facebook-Dienste mehr vor
  2. Smartphone Oneplus 8 und 8 Pro bekommen Android 11
  3. Mobile Neues Oneplus-Smartphone für 200 US-Dollar erwartet

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

    •  /