Abo
  • Services:

Anwaltspostfach: Die unnötige Ende-zu-Mitte-Verschlüsselung von BeA

Beim besonderen elektronischen Anwaltspostfach wird angeblich eine Ende-zu-Ende-Verschlüsselung eingesetzt - dabei sind die privaten Schlüssel nicht in der Hand der Nutzer, sondern in einem Hardware Security Module gespeichert. Wir erklären, wie es besser gehen würde.

Artikel von Hanno Böck veröffentlicht am
In dieser leicht verständlichen Darstellung erläutern Atos und die Bundesrechtsanwaltskammer, wie man eine Ende-zu-Ende-Verschlüsselung ohne Ende-zu-Ende-Verschlüsselung umsetzt.
In dieser leicht verständlichen Darstellung erläutern Atos und die Bundesrechtsanwaltskammer, wie man eine Ende-zu-Ende-Verschlüsselung ohne Ende-zu-Ende-Verschlüsselung umsetzt. (Bild: BRAK / Atos)

Das besondere elektronische Anwaltspostfach (BeA) der Bundesrechtsanwaltskammer ist zur Zeit offline - aufgrund von Sicherheitslücken mit HTTPS-Zertifikaten. Doch die Zertifikate sind nicht das einzige Problem des BeA.

Inhalt:
  1. Anwaltspostfach: Die unnötige Ende-zu-Mitte-Verschlüsselung von BeA
  2. Rechtsanwältin Alice fährt in den Urlaub

Laut der Informationsseiten der Bundesrechtsanwaltskammer nutzt das BeA eine Ende-zu-Ende-Verschlüsselung. Allerdings stimmt das nicht. Denn die Nachrichten werden nicht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, sondern mit einem Postfachschlüssel, der sich in einem Hardware Security Module (HSM) befindet. Das HSM nimmt dann eine "Umschlüsselung" vor, bei der die Nachrichten mit dem Schlüssel des Empfängers neu verschlüsselt werden.

Ende-zu-Ende oder eher Ende-zu-Mitte-Verschlüsselung?

Dass es sich dabei trotzdem um eine Ende-zu-Ende-Verschlüsselung handelt, begründet die Bundesrechtsanwaltskammer so: Bei der Umschlüsselung wird nur ein symmetrischer Schlüssel entschlüsselt, mit dem die eigentliche Nachricht verschlüsselt ist. Die Nachricht liegt also nie im Klartext vor - wenn alles so arbeitet wie vorgesehen. Die gesamte Sicherheit des Systems hängt also davon ab, dass das HSM korrekt arbeitet und die Schlüssel auch nicht extrahiert werden können. Überprüfen kann ein Anwender das natürlich nicht, er muss auf die Infrastruktur vertrauen.

Hardware Security Modules sind so gebaut, dass eine Extraktion des Schlüssels möglichst schwierig ist. Dabei soll sowohl eine Extraktion mittels Software als auch eine gewaltsame Öffnung der Hardware verhindert werden. Doch ein solcher Schutz ist nie perfekt: Die im HSM arbeitende Software kann beispielsweise wie jede Software Bugs enthalten. Auch lässt sich eine gewaltsame Öffnung nie mit Sicherheit verhindern.

Stellenmarkt
  1. Garz & Fricke GmbH, Hamburg
  2. Hamburg Süd, Hamburg

Auf einer neu bereitgestellten Informationsseite beantwortet die Bundesrechtsanwaltskammer nun einige Fragen dazu und erläutert auch die Verschlüsselung, wenngleich nur sehr oberflächlich. Auch hat die Rechtsanwaltskammer Hamburg Slides von einer Präsentation des Herstellers bereitgestellt.

HSM ist alternativlos - oder nicht?

"Die funktionalen Anforderungen und die Sicherheitsanforderungen an das BeA-System können nur unter Verwendung einer Umschlüsselungs-Komponente umgesetzt werden", heißt es auf der Informationsseite der Rechtsanwaltskammer. "Ein HSM ist hierfür die einzige zur Verfügung stehende Lösung zur Umsetzung der Anforderungen an das System."

Man könnte das so lesen: Der Einsatz eines HSMs ist zwar keine besonders elegante Lösung, aber für die Anforderungen des BeA quasi alternativlos. Der Grund dafür ist, dass ein Postfachinhaber festlegen können soll, dass seine Nachrichten an andere Personen weitergeleitet werden.

Doch eine solche Weiterleitungsfunktion ließe sich auch ganz ohne ein HSM lösen - und mit einer echten Ende-zu-Ende-Verschlüsselung.

Rechtsanwältin Alice fährt in den Urlaub 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. (nur für Prime-Mitglieder)

Gromran 20. Mär 2018

Das Thema ist rechtlich deutlich komplexer. Es geht ja nicht nur um Urlaubsvertretung...

Gromran 20. Mär 2018

Es "macht" nie etwas Sinn, es "hat" höchstens etwas Sinn. So schwer ist die deutsche...

pommesmatte 29. Jan 2018

Eve liest nur mit (Eavesdropping). Ein Man in the Middle wäre Mallory.

pommesmatte 29. Jan 2018

Du hast in allen Punkten an mir vorbei geredet.

beA-Veteran 28. Jan 2018

...wenn die Anwältin dauerhaft verschiedene Mitarbeiterinnen und Mitarbeiter am Postfach...


Folgen Sie uns
       


Alt gegen neu - Model M im Test

Das US-Unternehmen Unicomp bietet Tastaturen mit Buckling-Spring-Schalter an - so wie sie einst bei IBMs Model-M-Modellen verwendet wurden. Die Kunststoffteile sind zwar nicht so hochwertig wie die des Originals, die neuen Model Ms sind aber dennoch sehr gute Tastaturen.

Alt gegen neu - Model M im Test Video aufrufen
KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  2. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden
  3. KI-Bundesverband Deutschland soll mehr für KI-Forschung tun

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

Bargeldloses Zahlen: Warum Apple Pay sich hier noch nicht auszahlt
Bargeldloses Zahlen
Warum Apple Pay sich hier noch nicht auszahlt

Während Google Pay jüngst hierzulande gestartet ist, lässt Apple Pay auf sich warten. Kein Wunder: Der deutsche Markt ist schwierig - und die Banken sind in einer guten Verhandlungsposition.
Eine Analyse von Andreas Maisch

  1. Bargeldloses Zahlen Apple und Goldman Sachs planen Apple-Kreditkarte

    •  /