Abo
  • Services:

Anwaltspostfach: Die unnötige Ende-zu-Mitte-Verschlüsselung von BeA

Beim besonderen elektronischen Anwaltspostfach wird angeblich eine Ende-zu-Ende-Verschlüsselung eingesetzt - dabei sind die privaten Schlüssel nicht in der Hand der Nutzer, sondern in einem Hardware Security Module gespeichert. Wir erklären, wie es besser gehen würde.

Artikel von Hanno Böck veröffentlicht am
In dieser leicht verständlichen Darstellung erläutern Atos und die Bundesrechtsanwaltskammer, wie man eine Ende-zu-Ende-Verschlüsselung ohne Ende-zu-Ende-Verschlüsselung umsetzt.
In dieser leicht verständlichen Darstellung erläutern Atos und die Bundesrechtsanwaltskammer, wie man eine Ende-zu-Ende-Verschlüsselung ohne Ende-zu-Ende-Verschlüsselung umsetzt. (Bild: BRAK / Atos)

Das besondere elektronische Anwaltspostfach (BeA) der Bundesrechtsanwaltskammer ist zur Zeit offline - aufgrund von Sicherheitslücken mit HTTPS-Zertifikaten. Doch die Zertifikate sind nicht das einzige Problem des BeA.

Inhalt:
  1. Anwaltspostfach: Die unnötige Ende-zu-Mitte-Verschlüsselung von BeA
  2. Rechtsanwältin Alice fährt in den Urlaub

Laut der Informationsseiten der Bundesrechtsanwaltskammer nutzt das BeA eine Ende-zu-Ende-Verschlüsselung. Allerdings stimmt das nicht. Denn die Nachrichten werden nicht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, sondern mit einem Postfachschlüssel, der sich in einem Hardware Security Module (HSM) befindet. Das HSM nimmt dann eine "Umschlüsselung" vor, bei der die Nachrichten mit dem Schlüssel des Empfängers neu verschlüsselt werden.

Ende-zu-Ende oder eher Ende-zu-Mitte-Verschlüsselung?

Dass es sich dabei trotzdem um eine Ende-zu-Ende-Verschlüsselung handelt, begründet die Bundesrechtsanwaltskammer so: Bei der Umschlüsselung wird nur ein symmetrischer Schlüssel entschlüsselt, mit dem die eigentliche Nachricht verschlüsselt ist. Die Nachricht liegt also nie im Klartext vor - wenn alles so arbeitet wie vorgesehen. Die gesamte Sicherheit des Systems hängt also davon ab, dass das HSM korrekt arbeitet und die Schlüssel auch nicht extrahiert werden können. Überprüfen kann ein Anwender das natürlich nicht, er muss auf die Infrastruktur vertrauen.

Hardware Security Modules sind so gebaut, dass eine Extraktion des Schlüssels möglichst schwierig ist. Dabei soll sowohl eine Extraktion mittels Software als auch eine gewaltsame Öffnung der Hardware verhindert werden. Doch ein solcher Schutz ist nie perfekt: Die im HSM arbeitende Software kann beispielsweise wie jede Software Bugs enthalten. Auch lässt sich eine gewaltsame Öffnung nie mit Sicherheit verhindern.

Stellenmarkt
  1. BWI GmbH, Bonn-Beuel
  2. über duerenhoff GmbH, Raum Hamburg

Auf einer neu bereitgestellten Informationsseite beantwortet die Bundesrechtsanwaltskammer nun einige Fragen dazu und erläutert auch die Verschlüsselung, wenngleich nur sehr oberflächlich. Auch hat die Rechtsanwaltskammer Hamburg Slides von einer Präsentation des Herstellers bereitgestellt.

HSM ist alternativlos - oder nicht?

"Die funktionalen Anforderungen und die Sicherheitsanforderungen an das BeA-System können nur unter Verwendung einer Umschlüsselungs-Komponente umgesetzt werden", heißt es auf der Informationsseite der Rechtsanwaltskammer. "Ein HSM ist hierfür die einzige zur Verfügung stehende Lösung zur Umsetzung der Anforderungen an das System."

Man könnte das so lesen: Der Einsatz eines HSMs ist zwar keine besonders elegante Lösung, aber für die Anforderungen des BeA quasi alternativlos. Der Grund dafür ist, dass ein Postfachinhaber festlegen können soll, dass seine Nachrichten an andere Personen weitergeleitet werden.

Doch eine solche Weiterleitungsfunktion ließe sich auch ganz ohne ein HSM lösen - und mit einer echten Ende-zu-Ende-Verschlüsselung.

Rechtsanwältin Alice fährt in den Urlaub 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 216,50€
  3. 349,00€ (inkl. Call of Duty: Black Ops 4 & Fortnite Counterattack Set)

Gromran 20. Mär 2018

Das Thema ist rechtlich deutlich komplexer. Es geht ja nicht nur um Urlaubsvertretung...

Gromran 20. Mär 2018

Es "macht" nie etwas Sinn, es "hat" höchstens etwas Sinn. So schwer ist die deutsche...

pommesmatte 29. Jan 2018

Eve liest nur mit (Eavesdropping). Ein Man in the Middle wäre Mallory.

pommesmatte 29. Jan 2018

Du hast in allen Punkten an mir vorbei geredet.

beA-Veteran 28. Jan 2018

...wenn die Anwältin dauerhaft verschiedene Mitarbeiterinnen und Mitarbeiter am Postfach...


Folgen Sie uns
       


Raytracing in Metro Exodus im Test

Wir schauen uns Raytracing in Metro Exodus genauer an.

Raytracing in Metro Exodus im Test Video aufrufen
Metro Exodus im Technik-Test: Richtiges Raytracing rockt
Metro Exodus im Technik-Test
Richtiges Raytracing rockt

Die Implementierung von DirectX Raytracing in Metro Exodus überzeugt uns: Zwar ist der Fps-Verlust hoch, die globale Beleuchtung wirkt aber deutlich realistischer und stimmungsvoller als die Raster-Version.
Ein Test von Marc Sauter

  1. Turing-Grafikkarten Nvidias Geforce 1660/1650 erscheint im März
  2. Grafikkarte Chip der Geforce GTX 1660 Ti ist überraschend groß
  3. Deep Learning Supersampling Nvidia will DLSS-Kantenglättung verbessern

Digitaler Hausfriedensbruch: Bund warnt vor Verschärfung der Hackerparagrafen
Digitaler Hausfriedensbruch
Bund warnt vor Verschärfung der Hackerparagrafen

Ein Jahr Haft für das unbefugte Einschalten eines smarten Fernsehers? Unions-Politiker aus den Bundesländern überbieten sich gerade mit Forderungen, die Strafen für Hacker zu erhöhen und den Ermittlern mehr Befugnisse zu erteilen. Doch da will die Bundesregierung nicht mitmachen.
Von Friedhelm Greis

  1. Runc Sicherheitslücke ermöglicht Übernahme von Container-Host
  2. Security Metasploit 5.0 verbessert Datenbank und Automatisierungs-API
  3. Datenbank Fehler in SQLite ermöglichte Codeausführung

Honor Magic 2 im Test: Die Smartphone-Revolution ist aufgeschoben
Honor Magic 2 im Test
Die Smartphone-Revolution ist aufgeschoben

Ein Smartphone, dessen vordere Seite vollständig vom Display ausgefüllt wird: Diesem Ideal kommt Honor mit dem Magic 2 schon ziemlich nahe. Nicht mit Magie, sondern mit Hilfe eines Slider-Mechanismus. Honor verschenkt beim Magic 2 aber viel Potenzial, wie der Test zeigt.
Ein Test von Tobias Czullay

  1. Honor Neues Magic 2 mit Slider und ohne Notch vorgestellt
  2. Huawei Neues Honor 8X kostet 250 Euro
  3. Honor 10 vs. Oneplus 6 Oberklasse ab 400 Euro

    •  /