Abo
  • Services:

Das BSI schweigt

Infineon hat also einen unverzeihlichen Fehler begangen. Eine eiserne Regel bei der Entwicklung von Verschlüsselungssystemen ist es, nie auf Eigenentwicklungen zu setzen. Kryptografische Algorithmen gelten nur dann als sicher, wenn sie über einen längeren Zeitraum bekannt waren und wenn gleichzeitig viele Wissenschaftler versucht haben, sie zu brechen.

Stellenmarkt
  1. Fette Compacting GmbH, Mechelen (Belgien)
  2. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe

Doch bei Infineon glaubte man, auf eine solche öffentliche Überprüfung verzichten zu können. Aus den Antworten auf eine Anfrage von uns wird deutlich, dass das entsprechende Verfahren zur Schlüsselerzeugung nie in einer wissenschaftlichen Publikation dokumentiert wurde. Die "gründliche Überprüfung", auf die Infineon verweist, bezieht sich ausschließlich auf verschiedene Zertifizierungen.

Die entsprechenden Infineon-Produkte wurden demnach nach zwei Zertifizierungsstandards überprüft: FIPS 140-2 und Common Criteria EAL 5+. Beide stammen aus den USA, aber insbesondere Common Criteria spielt auch in der Europäischen Union eine wichtige Rolle. So sieht eine europäische Richtlinie für sogenannte qualifizierte Signaturen vor, dass die dafür verwendeten Produkte nach dem Common-Criteria-Standard zertifiziert wurden.

Das BSI führt häufig Zertifizierungen nach Common Criteria durch. EAL 5+ soll ein sehr hohes Level an Sicherheit bieten. Neben einer Prüfung des Codes sollen hierbei auch formale Methoden zum Einsatz kommen, die die Korrektheit prüfen. Dabei wird im Code nicht nur nach Fehlern gesucht, es soll dessen Korrektheit mit einer Art mathematischem Beweis gewährleistet werden.

Wie das alles mit einem selbst entwickelten und offenbar fehlerhaften Schlüsselerzeugungsalgorithmus in Einklang zu bringen ist, ist vorerst nicht nachvollziehbar. Beim BSI gibt man sich zugeknöpft und will offenbar nicht darüber reden. Mehrere Anfragen wurden bisher nicht beantwortet.

Betroffene Yubikey-Nutzer bekommen Ersatzgeräte

Nicht wenige Menschen aus der IT-Sicherheitscommunity sehen Zertifizierungssysteme wie FIPS und Common Criteria ohnehin skeptisch. Denn es ist nicht das erste Mal, dass dabei gravierende Probleme übersehen werden. Vor einigen Jahren etwa gelang es Kryptografen, die Schlüssel taiwanesischer Bürger-Chipkarten zu knacken. Auch da gab es eine Zertifizierung des BSI, allerdings wurden die Chipkarten wohl falsch verwendet. Die Zertifizierung bezog sich auf einen bestimmten Modus, in dem die Karten betrieben werden, dieser wurde aber in der Praxis nicht genutzt.

Geradezu absurd liest sich aus heutiger Sicht ein alter Blogeintrag der Firma Yubico. Deren sogenannte Yubikeys sind kleine USB-Geräte, mit denen man kryptografische Schlüssel speichern und am Schlüsselbund tragen kann. Sie können beispielsweise für verschlüsselte E-Mails genutzt werden.

In dem Blogpost rechtfertigt sich Yubico dafür, bei künftigen Produkten die Details zur Implementierung und den dazugehörigen Quellcode geheimzuhalten. Ein Schritt, der bei vielen Kunden schlecht ankam, denn Yubikeys werden von vielen Entwicklern aus der freien Software-Community genutzt. Yubico verwies darauf, dass die Produkte trotzdem sicher sind - dank ihrer Zertifizierung. Das ging gehörig schief. Denn Yubico setzte auf dieselbe unsichere Infineon-Verschlüsselung wie die estnische Regierung.

Yubico wird durch den Vorfall einige Kosten haben. Allen Anwendern der betroffenen Yubikeys bietet die Firma einen Austausch an. Die estnische Regierung kann wohl ihre Personalausweise durch ein Update korrigieren. Die Zertifizierung hilft den betroffenen Firmen nun wenig. Denn eine Haftung für Schäden sieht Common Criteria nicht vor.

 Infineon: BSI zertifiziert unsichere Verschlüsselung
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 2,99€
  2. (-20%) 47,99€
  3. 59,99€ mit Vorbesteller-Preisgarantie

robinx999 20. Okt 2017

In Deutschland ja in Frankreich wurde der TÜV zu Schadensersatz verurteilt http://www...

M.P. 20. Okt 2017

NFL-Spieler versucht den fehlerhaften Chip in seinem Personalausweis unbrauchbar zu...

Lasse Bierstrom 20. Okt 2017

Wer Zertifikat liest und denkt dass ALLES abgesichert ist, darf sich genauso in die Ecke...

nicoledos 19. Okt 2017

Bei derartiger HW ist heute bereits sehr viel SW drin. Aber auch für Software in den...


Folgen Sie uns
       


Electronic Arts E3 2018 Pressekonferenz - Live

Mit Command & Conquer Rivals wollte sich die Golem.de-Community so gar nicht anfreunden, da haben Anthem und Unraveled Two mehr überzeugt.

Electronic Arts E3 2018 Pressekonferenz - Live Video aufrufen
Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  2. Nasa 2020 soll ein Helikopter zum Mars fliegen
  3. Raumfahrt Nasa startet neue Beobachtungssonde Tess

Bargeldloses Zahlen: Warum Apple Pay sich hier noch nicht auszahlt
Bargeldloses Zahlen
Warum Apple Pay sich hier noch nicht auszahlt

Während Google Pay jüngst hierzulande gestartet ist, lässt Apple Pay auf sich warten. Kein Wunder: Der deutsche Markt ist schwierig - und die Banken sind in einer guten Verhandlungsposition.
Eine Analyse von Andreas Maisch

  1. Bargeldloses Zahlen Apple und Goldman Sachs planen Apple-Kreditkarte

Garmin Fenix 5 Plus im Test: Mit Musik ins unbekannte Land
Garmin Fenix 5 Plus im Test
Mit Musik ins unbekannte Land

Kopfhörer ins Ohr und ab zum Joggen, Rad fahren oder zum nächsten Supermarkt spazieren - ohne Smartphone: Mit der Sport-Smartwatch Fenix 5 Plus von Garmin geht das. Beim Test haben wir uns zwar im Wegfindungsmodus verlaufen, sind von den sonstigen Navigationsoptionen aber begeistert.
Ein Test von Peter Steinlechner

  1. Garmin im Hands on Alle Fenix 5 Plus bieten Musik und Offlinenavigation

    •  /