Abo
  • Services:

GSTool: BSI bedroht Sicherheitsforscher

Verschiedene Personen berichten dem Bundesamt für Sicherheit in der Informationstechnik (BSI) von einer gravierenden Sicherheitslücke in der Verschlüsselung des von der Behörde bereitgestellten Programms GSTool. Statt Dank erhalten sie juristische Drohungen.

Artikel veröffentlicht am , Hanno Böck
GSTOOL soll Unternehmen bei Sicherheitsfragen unterstützen.
GSTOOL soll Unternehmen bei Sicherheitsfragen unterstützen. (Bild: Screenshot: Golem)

GSTool ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestelltes Programm, das Unternehmen bei der Erstellung von Sicherheitskonzepten nach dem sogenannten IT-Grundschutz helfen soll. Dabei bietet GSTool auch die Möglichkeit, Daten zu verschlüsseln. Doch offenbar ist diese Verschlüsselung komplett unsicher.

Stellenmarkt
  1. über duerenhoff GmbH, Berlin
  2. Abel Mobilfunk GmbH & Co.KG, Engelsberg, Rödermark

Jan Schejbal, Mitglied der Piratenpartei, berichtet in seinem Blog, dass er bereits vor zwei Jahren auf die Sicherheitsprobleme gestoßen sei. Demnach verwendet GSTool zur Verschlüsselung einen zu einfachen Zufallszahlengenerator. Die Zahl der möglichen Schlüssel sinkt damit auf 2 hoch 31. Damit lässt sich die Verschlüsselung durch simples Durchprobieren der möglichen Schlüssel (Brute Force) in kurzer Zeit vollständig brechen.

"Und um diese Lücke zu finden, braucht es keine NSA-Experten", kommentiert Jan Schejbal den Vorfall in seinem Blog. "Das hat der chinesische Geheimdienst und jeder andere Wirtschaftsspion sicher auch hinbekommen. Kein schöner Gedanke für deutsche Unternehmen, die sich auf die Sicherheit dieser von einer für die IT-Sicherheit zuständigen Behörde herausgegebenen Software verlassen haben."

Als die Entdecker der Sicherheitslücke das BSI informierten, wurde ihnen mitgeteilt, dass man davon ausgehe, dass das Reverse Engineering von GSTool eine Urheberrechtsverletzung darstelle und dass derartige Vorfälle "sehr strikt verfolgt" würden. Die Autoren wurden gebeten, die Sicherheitslücken nicht zu veröffentlichen.

Das BSI benötigte dann etwa eineinhalb Jahre, um eine korrigierte Version von GSTool bereitzustellen. Die "Korrektur" bestand allerdings darin, die Verschlüsselungsfunktion aus dem Programm komplett zu entfernen. Auch wurden Nutzer von GSTool nicht über die Sicherheitslücke informiert.

Die schlechten Zufallszahlen sind nicht das einzige Problem von GSTool. Das Programm nutzt den Verschlüsselungsmodus ECB (Electronic Code Book), der von allen Verschlüsselungsmodi als unsicherste Wahl überhaupt gilt. Außerdem nutzt GSTool einen vom BSI selbst entwickelten, geheimen Verschlüsselungsalgorithmus namens Chiasmus. Die Verwendung von Geheimalgorithmen gilt unter Kryptographen als "Security by obscurity" und wird von der Fachwelt als absolut inakzeptabel angesehen. Algorithmen müssen nach dem sogenannten Kerckhoffs'schen Prinzip öffentlich dokumentiert und von einer großen Zahl von Fachleuten überprüft worden sein, um als sicher zu gelten.

Offenbar war Jan Schejbal nicht der Einzige, der auf die Probleme in GSTool stieß. Bereits 2009 hatte Felix Schuster von der Ruhr-Universität Bochum das BSI ebenfalls auf mögliche Probleme hingewiesen. Das BSI lehnte aber eine Analyse durch Schuster ab, somit wurden die entsprechenden Informationen nie an die Behörde weitergegeben. Jan Schejbal bittet weitere Personen, die im Zusammenhang mit GSTool Sicherheitslücken entdeckt haben und daher Kontakt mit dem BSI hatten, sich bei ihm zu melden.

Die aktuelle Version von GSTool besitzt nun keine Verschlüsselungsfunktion mehr. Der Chiasmus-Algorithmus wird weiterhin von einem Tool namens Chiasmus für Windows genutzt. Allerdings ist dieses Tool nicht öffentlich zugänglich. Da es sich bei den gefundenen Schwachstellen um Probleme der Implementierung in GSTool handelt, ist Chiasmus für Windows vermutlich nicht betroffen. Eine Analyse des verwendeten Algorithmus durch Kryptographen steht aber weiterhin aus, da Chiasmus immer noch geheim ist.

Jan Schejbal hat bereits vor drei Jahren gravierende Sicherheitsprobleme in der Updatefunktion der sogenannten Ausweis-App entdeckt. Die Ausweis-App wurde anschließend vom BSI zurückgezogen.

Aufgrund der Probleme und der langsamen Reaktionszeit des BSI will Schejbal künftig darauf verzichten, staatliche Behörden im Vorfeld über Sicherheitslücken zu informieren und stattdessen direkt an die Öffentlichkeit gehen. "Alles andere sorgt nur für unnötigen Stress, Verzögerungen und unter-den-Teppich-kehren", so Schejbal.

Wir haben beim BSI um eine Stellungnahme gebeten, diese aber bisher nicht erhalten.



Anzeige
Hardware-Angebote
  1. bei Alternate.de
  2. jetzt bei Apple.de bestellbar
  3. und Far Cry 5 gratis erhalten

meine_meinung 12. Sep 2013

das mag sein... so oder so, das BSI ist zur Zeit nicht in der Lage die Rolle zu spielen...

a user 12. Sep 2013

wie wär's, wenn du mal erläuterst inwiefern er die kurche im dorf lassen soll? irgendwie...

a user 12. Sep 2013

manipulation großer internetunternehmen urangeschosse in der buneswehr (ist zwar länger...

janspambox 12. Sep 2013

Genau für die Verschlüsselung von Exports ist die Funktion gedacht.

Fanti4ever 12. Sep 2013

Dem BSI sollte bewusst sein, dass das Dekompilieren von Software in Deutschland (auf...


Folgen Sie uns
       


Kameravergleich P20 Pro, Xperia XZ2, Galaxy S9 Plus

Huaweis neues P20 Pro hat gleich drei Kameras auf der Rückseite. Diese ermöglichen nicht nur eine Porträtfunktion, sondern auch einen dreistufigen Zoom. Mit ihren KI-Funktionen unterstützt die Kamera des P20 Pro den Nutzer bei der Aufnahme.

Kameravergleich P20 Pro, Xperia XZ2, Galaxy S9 Plus Video aufrufen
HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

HP Z2 Mini Workstation G3 im Test: Leises Rauschen hinterm Monitor
HP Z2 Mini Workstation G3 im Test
Leises Rauschen hinterm Monitor

Unterm Tisch, auf dem Tisch oder hinter den Bildschirm geklemmt: HPs Z2 Mini Workstation ist ein potentes, wenn auch nicht gerade sehr preiswertes Komplettsystem. Den Preis ist der PC aber wert, denn er ist leise, modular und kann einfach gewartet werden. Der Admin dankt!
Ein Test von Oliver Nickel

  1. HP Pavilion Gaming Hardware für Gamer, die sich Omen nicht leisten wollen
  2. Chromebook x2 HP präsentiert Chrome-OS-Detachable mit Stift
  3. Laserjet Pro M15w und M28w HPs Laserdrucker schrumpfen auf 34 Zentimeter Länge

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /