Abo
  • Services:

Das BSI schweigt

Infineon hat also einen unverzeihlichen Fehler begangen. Eine eiserne Regel bei der Entwicklung von Verschlüsselungssystemen ist es, nie auf Eigenentwicklungen zu setzen. Kryptografische Algorithmen gelten nur dann als sicher, wenn sie über einen längeren Zeitraum bekannt waren und wenn gleichzeitig viele Wissenschaftler versucht haben, sie zu brechen.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. Bosch Gruppe, Grasbrunn

Doch bei Infineon glaubte man, auf eine solche öffentliche Überprüfung verzichten zu können. Aus den Antworten auf eine Anfrage von uns wird deutlich, dass das entsprechende Verfahren zur Schlüsselerzeugung nie in einer wissenschaftlichen Publikation dokumentiert wurde. Die "gründliche Überprüfung", auf die Infineon verweist, bezieht sich ausschließlich auf verschiedene Zertifizierungen.

Die entsprechenden Infineon-Produkte wurden demnach nach zwei Zertifizierungsstandards überprüft: FIPS 140-2 und Common Criteria EAL 5+. Beide stammen aus den USA, aber insbesondere Common Criteria spielt auch in der Europäischen Union eine wichtige Rolle. So sieht eine europäische Richtlinie für sogenannte qualifizierte Signaturen vor, dass die dafür verwendeten Produkte nach dem Common-Criteria-Standard zertifiziert wurden.

Das BSI führt häufig Zertifizierungen nach Common Criteria durch. EAL 5+ soll ein sehr hohes Level an Sicherheit bieten. Neben einer Prüfung des Codes sollen hierbei auch formale Methoden zum Einsatz kommen, die die Korrektheit prüfen. Dabei wird im Code nicht nur nach Fehlern gesucht, es soll dessen Korrektheit mit einer Art mathematischem Beweis gewährleistet werden.

Wie das alles mit einem selbst entwickelten und offenbar fehlerhaften Schlüsselerzeugungsalgorithmus in Einklang zu bringen ist, ist vorerst nicht nachvollziehbar. Beim BSI gibt man sich zugeknöpft und will offenbar nicht darüber reden. Mehrere Anfragen wurden bisher nicht beantwortet.

Betroffene Yubikey-Nutzer bekommen Ersatzgeräte

Nicht wenige Menschen aus der IT-Sicherheitscommunity sehen Zertifizierungssysteme wie FIPS und Common Criteria ohnehin skeptisch. Denn es ist nicht das erste Mal, dass dabei gravierende Probleme übersehen werden. Vor einigen Jahren etwa gelang es Kryptografen, die Schlüssel taiwanesischer Bürger-Chipkarten zu knacken. Auch da gab es eine Zertifizierung des BSI, allerdings wurden die Chipkarten wohl falsch verwendet. Die Zertifizierung bezog sich auf einen bestimmten Modus, in dem die Karten betrieben werden, dieser wurde aber in der Praxis nicht genutzt.

Geradezu absurd liest sich aus heutiger Sicht ein alter Blogeintrag der Firma Yubico. Deren sogenannte Yubikeys sind kleine USB-Geräte, mit denen man kryptografische Schlüssel speichern und am Schlüsselbund tragen kann. Sie können beispielsweise für verschlüsselte E-Mails genutzt werden.

In dem Blogpost rechtfertigt sich Yubico dafür, bei künftigen Produkten die Details zur Implementierung und den dazugehörigen Quellcode geheimzuhalten. Ein Schritt, der bei vielen Kunden schlecht ankam, denn Yubikeys werden von vielen Entwicklern aus der freien Software-Community genutzt. Yubico verwies darauf, dass die Produkte trotzdem sicher sind - dank ihrer Zertifizierung. Das ging gehörig schief. Denn Yubico setzte auf dieselbe unsichere Infineon-Verschlüsselung wie die estnische Regierung.

Yubico wird durch den Vorfall einige Kosten haben. Allen Anwendern der betroffenen Yubikeys bietet die Firma einen Austausch an. Die estnische Regierung kann wohl ihre Personalausweise durch ein Update korrigieren. Die Zertifizierung hilft den betroffenen Firmen nun wenig. Denn eine Haftung für Schäden sieht Common Criteria nicht vor.

 Infineon: BSI zertifiziert unsichere Verschlüsselung
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

robinx999 20. Okt 2017

In Deutschland ja in Frankreich wurde der TÜV zu Schadensersatz verurteilt http://www...

M.P. 20. Okt 2017

NFL-Spieler versucht den fehlerhaften Chip in seinem Personalausweis unbrauchbar zu...

Lasse Bierstrom 20. Okt 2017

Wer Zertifikat liest und denkt dass ALLES abgesichert ist, darf sich genauso in die Ecke...

nicoledos 19. Okt 2017

Bei derartiger HW ist heute bereits sehr viel SW drin. Aber auch für Software in den...


Folgen Sie uns
       


Padrone-Maus-Ring angesehen (CES 2019)

Der Ring von Padrone soll die Maus überflüssig machen - wir haben ihn uns auf der CES 2019 angesehen.

Padrone-Maus-Ring angesehen (CES 2019) Video aufrufen
Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  2. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie
  3. Weniger Aufwand Elektroautos sollen in Deutschland 114.000 Jobs kosten

Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit
  2. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  3. Mobilität Das Auto der Zukunft ist modular und wandelbar

Datenschutz: Nie da gewesene Kontrollmacht für staatliche Stellen
Datenschutz
"Nie da gewesene Kontrollmacht für staatliche Stellen"

Zur G20-Fahndung nutzt Hamburgs Polizei eine Software, die Gesichter von Hunderttausenden speichert. Schluss damit, sagt der Datenschutzbeauftragte - und wird ignoriert.
Ein Interview von Oliver Hollenstein

  1. Brexit-Abstimmung IT-Wirtschaft warnt vor Datenchaos in Europa
  2. Österreich Post handelt mit politischen Einstellungen
  3. Digitalisierung Bär stößt Debatte um Datenschutz im Gesundheitswesen an

    •  /