Abo
  • Services:

Veraltete Verschlüsselung in OSCI

Doch das ist längst nicht das einzige Problem. Ende Juli hat die Frankfurter Allgemeine Zeitung (FAZ) berichtet, dass es beim Schließen einer Lücke in der Verschlüsselung wohl ein Koordinierungsproblem mit dem EGVP gibt. Das EGVP ist ein älteres Justiz-Kommunikationssystem, das mit dem BeA über den OSCI-Standard kommunizieren kann.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

OSCI ist ein recht alter Standard, die letzte Version 1.2 wurde im Jahr 2002 veröffentlicht. Dementsprechend finden sich darin zahlreiche uralte Verschlüsselungsverfahren. Die Brak schwieg sich über Details des Problems aus, aber aus den bekannten Informationen lässt sich schließen, dass das System offenbar RSA im Padding-Modus PKCS #1 1.5 einsetzt und für einen sogenannten Bleichenbacher-Angriff verwundbar war.

Behoben werden sollte das durch einen Umstieg auf das modernere OAEP-Verfahren, doch diese Umstellung muss noch etwas warten, da ein gleichzeitiger Umstieg im EGVP stattfinden muss.

Das RSA-Padding-Verfahren ist nicht die einzige fragwürdige, veraltete Verschlüsselungskonstruktion in OSCI. Im originalen OSCI-Standard wird eine XML-Verschlüsselung mit dem sogenannten CBC-Modus beschrieben. Dies gilt eigentlich schon lange als unsicher, da CBC ein nicht authentifizierter Modus ist und Nachrichten somit nicht gegen Modifikation geschützt sind. Insbesondere stellt sich hier auch die Frage, ob OSCI und damit das BeA verwundbar für einen Angriff wie Efail wäre.

Optional lässt sich OSCI wohl inzwischen auch mit dem authentifizierten GCM-Verfahren verwenden. Daher hätten wir gerne gewusst, ob das BeA GCM bereits nutzt. Doch auch diese Frage hat uns das Brak nicht beantwortet.

BeA-Installer unter Linux stürzt ab

Einige Anwälte haben Golem.de berichtet, sie hätten Probleme mit der BeA-Installation mit Firefox und generell unter Linux gehabt. Diese Probleme betreffen offenbar nicht alle Anwender, wir konnten sie jedoch in einem Test nachvollziehen.

Da das BeA mit einem lokalen HTTPS-Server kommuniziert, muss dafür ein Zertifikat im Browser installiert werden. In einem Test von uns mit einer frischen Windows- und Firefox-Installation wurde das Zertifikat dabei zwar im Windows-eigenen Zertifikatsspeicher abgelegt, nicht jedoch in Firefox - der Mozilla-Browser nutzt einen eigenen Zertifikatsspeicher.

Die Linux-Installation wird offiziell laut Brak nur unter der inzwischen schon über zwei Jahre alten Ubuntu-Version 16.04 unterstützt. Doch ein Test von uns bestätigte, was uns auch ein Anwalt mitteilte: Die Installationsroutine brach unter Ubuntu 16.04 mit einem Absturz ab.

Generell nicht unterstützt wird vom BeA Microsofts Edge-Browser. Den Anwendern von Edge empfiehlt die Brak, auf den inzwischen veralteten Internet Explorer zurückzugreifen. Gleichzeitig schreibt die Brak aber auch im Widerspruch dazu: "Es wird empfohlen, immer die aktuelle Version der Browser zu verwenden, da von den Herstellern fortlaufend Sicherheitslücken geschlossen werden."

BeA kommt mit veralteter Java-Version

Bei der Untersuchung der Probleme des Installers ist uns eine weitere Sache aufgefallen: Das Installationsprogramm ist offenbar schon länger nicht aktualisiert worden - die Dateien tragen ein Datum vom Februar 2018. Die BeA-Software selber wird dabei immer aktuell von einem Server aus dem Netz gezogen, doch falls auf dem System noch kein Java installiert ist, wird eine mit dem Installer mitgelieferte Version verwendet.

Das mitgelieferte Java trägt die Versionsnummer 1.8.0_161 und wurde im Januar veröffentlicht. Seither gab es mehrere Java-Sicherheitsupdates, das BeA läuft also mit einer Java-Version mit bekannten Sicherheitslücken.

Niemand muss mit dem BeA Nachrichten verschicken

Trotz Sicherheitslücken und Installationsproblemen: Für Rechtsanwälte gilt, dass sie das BeA ab sofort nutzen müssen. Zwischenzeitlich war diskutiert worden, ob man für eine Übergangsphase die Nutzungspflicht aussetzen kann, das lehnte das Justizministerium jedoch ab.

Allerdings gilt die Nutzungspflicht bislang nur passiv. Das bedeutet, dass Anwälte zwar übers BeA Nachrichten empfangen müssen, sie sind aber nicht verpflichtet, das System selbst zur aktiven Kommunikation zu nutzen. Die Gesellschaft für Freiheitsrechte, die zurzeit gegen das BeA klagt, empfiehlt daher: "Die Gefahren für die Datensicherheit lassen sich auch bannen, indem einfach niemand das unsichere beA nutzt."

 BeA: Das Anwaltspostfach kommt mit Sicherheitslücken
  1.  
  2. 1
  3. 2


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)

grorg 06. Sep 2018

Bei nem Kollegen der Anwalt ist auf ein Bierchen der in seiner Kanzlei mit Mac OS...

RienSte 06. Sep 2018

Ich gehe davon aus, dass das keine direkte Antwort auf meinen Beitrag war, oder? (so wird...

RichardEb 04. Sep 2018

Und welche Zaubertechnik soll das verhindern?

plutoniumsulfat 04. Sep 2018

Die Logik dahinter sollte verständlich sein.

My1 04. Sep 2018

naja der nutzungszwang soll halt den anwälten ausm neuland raushelfen aber dass es so...


Folgen Sie uns
       


Need for Speed 3 Hot Pursuit (1998) - Golem retro_

Diese Episode Golem retro_ beleuchtet Need for Speed 3 Hot Pursuit aus dem Jahre 1998. Der dritte Serienteil gilt bis heute bei den Fans als unerreicht gut.

Need for Speed 3 Hot Pursuit (1998) - Golem retro_ Video aufrufen
Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

CES 2019: Die Messe der unnützen Gaming-Hardware
CES 2019
Die Messe der unnützen Gaming-Hardware

CES 2019 Wer wollte schon immer dauerhaft auf einem kleinen 17-Zoll-Bildschirm spielen oder ein mehrere Kilogramm schweres Tablet mit sich herumtragen? Niemand! Das ficht die Hersteller aber nicht an - im Gegenteil, sie denken sich immer mehr Obskuritäten aus.
Ein IMHO von Oliver Nickel

  1. Slighter im Hands on Wenn das Feuerzeug smarter als der Raucher ist
  2. Sonos Keine Parallelnutzung von Alexa und Google Assistant geplant
  3. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion

Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  2. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie
  3. Weniger Aufwand Elektroautos sollen in Deutschland 114.000 Jobs kosten

    •  /