Abo
  • IT-Karriere:

Das BSI schweigt

Infineon hat also einen unverzeihlichen Fehler begangen. Eine eiserne Regel bei der Entwicklung von Verschlüsselungssystemen ist es, nie auf Eigenentwicklungen zu setzen. Kryptografische Algorithmen gelten nur dann als sicher, wenn sie über einen längeren Zeitraum bekannt waren und wenn gleichzeitig viele Wissenschaftler versucht haben, sie zu brechen.

Stellenmarkt
  1. BWI GmbH, Bonn, Meckenheim
  2. operational services GmbH & Co. KG, Wolfsburg, Braunschweig

Doch bei Infineon glaubte man, auf eine solche öffentliche Überprüfung verzichten zu können. Aus den Antworten auf eine Anfrage von uns wird deutlich, dass das entsprechende Verfahren zur Schlüsselerzeugung nie in einer wissenschaftlichen Publikation dokumentiert wurde. Die "gründliche Überprüfung", auf die Infineon verweist, bezieht sich ausschließlich auf verschiedene Zertifizierungen.

Die entsprechenden Infineon-Produkte wurden demnach nach zwei Zertifizierungsstandards überprüft: FIPS 140-2 und Common Criteria EAL 5+. Beide stammen aus den USA, aber insbesondere Common Criteria spielt auch in der Europäischen Union eine wichtige Rolle. So sieht eine europäische Richtlinie für sogenannte qualifizierte Signaturen vor, dass die dafür verwendeten Produkte nach dem Common-Criteria-Standard zertifiziert wurden.

Das BSI führt häufig Zertifizierungen nach Common Criteria durch. EAL 5+ soll ein sehr hohes Level an Sicherheit bieten. Neben einer Prüfung des Codes sollen hierbei auch formale Methoden zum Einsatz kommen, die die Korrektheit prüfen. Dabei wird im Code nicht nur nach Fehlern gesucht, es soll dessen Korrektheit mit einer Art mathematischem Beweis gewährleistet werden.

Wie das alles mit einem selbst entwickelten und offenbar fehlerhaften Schlüsselerzeugungsalgorithmus in Einklang zu bringen ist, ist vorerst nicht nachvollziehbar. Beim BSI gibt man sich zugeknöpft und will offenbar nicht darüber reden. Mehrere Anfragen wurden bisher nicht beantwortet.

Betroffene Yubikey-Nutzer bekommen Ersatzgeräte

Nicht wenige Menschen aus der IT-Sicherheitscommunity sehen Zertifizierungssysteme wie FIPS und Common Criteria ohnehin skeptisch. Denn es ist nicht das erste Mal, dass dabei gravierende Probleme übersehen werden. Vor einigen Jahren etwa gelang es Kryptografen, die Schlüssel taiwanesischer Bürger-Chipkarten zu knacken. Auch da gab es eine Zertifizierung des BSI, allerdings wurden die Chipkarten wohl falsch verwendet. Die Zertifizierung bezog sich auf einen bestimmten Modus, in dem die Karten betrieben werden, dieser wurde aber in der Praxis nicht genutzt.

Geradezu absurd liest sich aus heutiger Sicht ein alter Blogeintrag der Firma Yubico. Deren sogenannte Yubikeys sind kleine USB-Geräte, mit denen man kryptografische Schlüssel speichern und am Schlüsselbund tragen kann. Sie können beispielsweise für verschlüsselte E-Mails genutzt werden.

In dem Blogpost rechtfertigt sich Yubico dafür, bei künftigen Produkten die Details zur Implementierung und den dazugehörigen Quellcode geheimzuhalten. Ein Schritt, der bei vielen Kunden schlecht ankam, denn Yubikeys werden von vielen Entwicklern aus der freien Software-Community genutzt. Yubico verwies darauf, dass die Produkte trotzdem sicher sind - dank ihrer Zertifizierung. Das ging gehörig schief. Denn Yubico setzte auf dieselbe unsichere Infineon-Verschlüsselung wie die estnische Regierung.

Yubico wird durch den Vorfall einige Kosten haben. Allen Anwendern der betroffenen Yubikeys bietet die Firma einen Austausch an. Die estnische Regierung kann wohl ihre Personalausweise durch ein Update korrigieren. Die Zertifizierung hilft den betroffenen Firmen nun wenig. Denn eine Haftung für Schäden sieht Common Criteria nicht vor.

 Infineon: BSI zertifiziert unsichere Verschlüsselung
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 19€ (ohne Prime oder unter 29€ zzgl. Versand) - Bestpreis!
  2. 39€
  3. 26€ (ohne Prime oder unter 29€ zzgl. Versand) - Bestpreis!
  4. 259€ + Versand oder kostenlose Marktabholung (Bestpreis!)

robinx999 20. Okt 2017

In Deutschland ja in Frankreich wurde der TÜV zu Schadensersatz verurteilt http://www...

M.P. 20. Okt 2017

NFL-Spieler versucht den fehlerhaften Chip in seinem Personalausweis unbrauchbar zu...

Lasse Bierstrom 20. Okt 2017

Wer Zertifikat liest und denkt dass ALLES abgesichert ist, darf sich genauso in die Ecke...

nicoledos 19. Okt 2017

Bei derartiger HW ist heute bereits sehr viel SW drin. Aber auch für Software in den...


Folgen Sie uns
       


Wolfenstein Youngblood angespielt

Zwillinge im Kampf gegen das Böse: Im Actionspiel Wolfenstein Youngblood müssen sich Jess und Soph Blazkowicz mit dem Regime anlegen.

Wolfenstein Youngblood angespielt Video aufrufen
Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

    •  /