• IT-Karriere:
  • Services:

Das BSI schweigt

Infineon hat also einen unverzeihlichen Fehler begangen. Eine eiserne Regel bei der Entwicklung von Verschlüsselungssystemen ist es, nie auf Eigenentwicklungen zu setzen. Kryptografische Algorithmen gelten nur dann als sicher, wenn sie über einen längeren Zeitraum bekannt waren und wenn gleichzeitig viele Wissenschaftler versucht haben, sie zu brechen.

Stellenmarkt
  1. Diehl Defence GmbH & Co. KG, Röthenbach bei Nürnberg
  2. Deutsche Leasing AG, Bad Homburg v. d. Höhe

Doch bei Infineon glaubte man, auf eine solche öffentliche Überprüfung verzichten zu können. Aus den Antworten auf eine Anfrage von uns wird deutlich, dass das entsprechende Verfahren zur Schlüsselerzeugung nie in einer wissenschaftlichen Publikation dokumentiert wurde. Die "gründliche Überprüfung", auf die Infineon verweist, bezieht sich ausschließlich auf verschiedene Zertifizierungen.

Die entsprechenden Infineon-Produkte wurden demnach nach zwei Zertifizierungsstandards überprüft: FIPS 140-2 und Common Criteria EAL 5+. Beide stammen aus den USA, aber insbesondere Common Criteria spielt auch in der Europäischen Union eine wichtige Rolle. So sieht eine europäische Richtlinie für sogenannte qualifizierte Signaturen vor, dass die dafür verwendeten Produkte nach dem Common-Criteria-Standard zertifiziert wurden.

Das BSI führt häufig Zertifizierungen nach Common Criteria durch. EAL 5+ soll ein sehr hohes Level an Sicherheit bieten. Neben einer Prüfung des Codes sollen hierbei auch formale Methoden zum Einsatz kommen, die die Korrektheit prüfen. Dabei wird im Code nicht nur nach Fehlern gesucht, es soll dessen Korrektheit mit einer Art mathematischem Beweis gewährleistet werden.

Wie das alles mit einem selbst entwickelten und offenbar fehlerhaften Schlüsselerzeugungsalgorithmus in Einklang zu bringen ist, ist vorerst nicht nachvollziehbar. Beim BSI gibt man sich zugeknöpft und will offenbar nicht darüber reden. Mehrere Anfragen wurden bisher nicht beantwortet.

Betroffene Yubikey-Nutzer bekommen Ersatzgeräte

Nicht wenige Menschen aus der IT-Sicherheitscommunity sehen Zertifizierungssysteme wie FIPS und Common Criteria ohnehin skeptisch. Denn es ist nicht das erste Mal, dass dabei gravierende Probleme übersehen werden. Vor einigen Jahren etwa gelang es Kryptografen, die Schlüssel taiwanesischer Bürger-Chipkarten zu knacken. Auch da gab es eine Zertifizierung des BSI, allerdings wurden die Chipkarten wohl falsch verwendet. Die Zertifizierung bezog sich auf einen bestimmten Modus, in dem die Karten betrieben werden, dieser wurde aber in der Praxis nicht genutzt.

Geradezu absurd liest sich aus heutiger Sicht ein alter Blogeintrag der Firma Yubico. Deren sogenannte Yubikeys sind kleine USB-Geräte, mit denen man kryptografische Schlüssel speichern und am Schlüsselbund tragen kann. Sie können beispielsweise für verschlüsselte E-Mails genutzt werden.

In dem Blogpost rechtfertigt sich Yubico dafür, bei künftigen Produkten die Details zur Implementierung und den dazugehörigen Quellcode geheimzuhalten. Ein Schritt, der bei vielen Kunden schlecht ankam, denn Yubikeys werden von vielen Entwicklern aus der freien Software-Community genutzt. Yubico verwies darauf, dass die Produkte trotzdem sicher sind - dank ihrer Zertifizierung. Das ging gehörig schief. Denn Yubico setzte auf dieselbe unsichere Infineon-Verschlüsselung wie die estnische Regierung.

Yubico wird durch den Vorfall einige Kosten haben. Allen Anwendern der betroffenen Yubikeys bietet die Firma einen Austausch an. Die estnische Regierung kann wohl ihre Personalausweise durch ein Update korrigieren. Die Zertifizierung hilft den betroffenen Firmen nun wenig. Denn eine Haftung für Schäden sieht Common Criteria nicht vor.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Infineon: BSI zertifiziert unsichere Verschlüsselung
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. (-78%) 9,99€
  2. (u. a. Warhammer 40.000: Mechanicus für 12,99€, Project Highrise für 6,99€, Filament für 9...
  3. 15,49€

robinx999 20. Okt 2017

In Deutschland ja in Frankreich wurde der TÜV zu Schadensersatz verurteilt http://www...

M.P. 20. Okt 2017

NFL-Spieler versucht den fehlerhaften Chip in seinem Personalausweis unbrauchbar zu...

Lasse Bierstrom 20. Okt 2017

Wer Zertifikat liest und denkt dass ALLES abgesichert ist, darf sich genauso in die Ecke...

nicoledos 19. Okt 2017

Bei derartiger HW ist heute bereits sehr viel SW drin. Aber auch für Software in den...


Folgen Sie uns
       


Facebook, Twitter und Youtube: Propaganda, Hetze und Manipulation
Facebook, Twitter und Youtube
Propaganda, Hetze und Manipulation

Immer stärker wird im US-Wahlkampf mit Falschnachrichten, Social Bots und politischen Influencern auf Facebook, Twitter oder Youtube um Wähler gebuhlt.
Eine Analyse von Sabrina Keßler

  1. Rechtsextremismus Wie QAnon zum größten Verschwörungsmythos wurde

Geforce RTX 3090 ausverkauft: Einmal Frust für 1.500 Euro, bitte!
Geforce RTX 3090 ausverkauft
Einmal Frust für 1.500 Euro, bitte!

Erst Vorfreude, dann Ernüchterung und Wut: Der Kauf der Geforce-RTX-3090-Grafikkarte wird zu einer Reise ohne Ziel, dafür mit Emotionen.
Ein IMHO von Oliver Nickel

  1. Ampere-Grafikkarten Kondensatoren sind der Grund für instabile Geforce RTX 3080

Amazon: Der Echo wird kugelig
Amazon
Der Echo wird kugelig

Zäsur bei Amazon: Alle neuen Echo-Lautsprecher haben ein komplett neues Design erhalten.

  1. Echo Auto im Test Tolle Sprachsteuerung und neue Alexa-Funktionen
  2. Echo Auto Amazon bringt Alexa für 60 Euro ins Auto

    •  /