Abo
  • Services:

Infineon: BSI zertifiziert unsichere Verschlüsselung

Infineon-Chips in Personalausweisen, Laptops und Krypto-Hardware sind unsicher. Pikant daran: Die Produkte wurden vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert.

Artikel veröffentlicht am , Hanno Böck/Zeit Online
Was kann man sich von so einem deutschen IT-Sicherheitszertifikat eigentlich versprechen? Offenbar nicht sehr viel.
Was kann man sich von so einem deutschen IT-Sicherheitszertifikat eigentlich versprechen? Offenbar nicht sehr viel. (Bild: Common Criteria Report / BSI)

Estland wird gerne als Vorreiter der Digitalisierung genannt. Eine Chipkarte auf estnischen Personalausweisen kann unter anderem genutzt werden, um viele Behördengänge elektronisch zu erledigen. Auch an Wahlen können die Bürger mit ihrem Ausweis online teilnehmen.

Inhalt:
  1. Infineon: BSI zertifiziert unsichere Verschlüsselung
  2. Das BSI schweigt

Kern des estnischen Personalausweises ist ein Chip, der verschiedene Verschlüsselungsfunktionen implementiert und von der Münchner Firma Infineon stammt. Doch mit diesem Chip gibt es jetzt ein Problem: Forscher aus Tschechien und der Slowakei wollen auf einer Konferenz im November zeigen, wie man seine Verschlüsselung mit vertretbarem Aufwand knacken kann.

Das Sicherheitsproblem ist aber noch größer. Denn dasselbe Verschlüsselungssystem kommt in zahlreichen weiteren Produkten zum Einsatz, darunter in sogenannten TPM-Chips, die in vielen modernen Laptops verbaut sind und für die Windows-Dateisystemverschlüsselung genutzt werden, und in Yubikeys - das sind Hardware-Verschlüsselungsmodule für den USB-Port. Auch die Personalausweise der Slowakei basieren auf der entsprechenden Infineon-Hardware.

Infineon will gründlich geprüft haben

Mitverantwortlich für dieses Desaster ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) - also jene Behörde, die in Deutschland für die Sicherheit der IT-Infrastruktur sorgen soll. Denn bei der Entwicklung der Verschlüsselung hat sich Infineon offenbar auf die Zertifizierung durch das BSI verlassen und die Sicherheit des eigenen Produkts ansonsten nicht weiter geprüft. Oder zumindest nicht gründlich genug.

Stellenmarkt
  1. Vorwerk & Co. KG, Wuppertal
  2. Hartmann-exact KG, Schorndorf

Im offiziellen Statement von Infineon klingt das anders. Demnach habe man ein Verfahren verwendet, dessen Grundlagen im Jahr 2000 entwickelt wurden und das erst zehn Jahre später nach gründlicher Überprüfung zum Einsatz kam.

Die Verschlüsselung, um die es geht, ist das sogenannte RSA-Verfahren. Die Abkürzung steht für seine Erfinder Rivest, Shamir und Adelman. Mit RSA selbst gibt es kein Problem, es ist einer der gängigsten Verschlüsselungsalgorithmen und kommt an vielen Stellen zum Einsatz. Der Fehler passierte Infineon offenbar bei der Erstellung der RSA-Schlüssel.

Anfängerfehler: eigene Krypto-Lösung erfinden

Um einen RSA-Schlüssel zu erzeugen, benötigt man zwei große, zufällig gewählte Primzahlen. Wichtig ist, dass diese Primzahlen geheim bleiben und durch einen Angreifer nicht erraten werden können. Eine simple und auch sichere Methode ist es, einfach zufällig große Zahlen zu erzeugen und anschließend zu prüfen, ob es sich um Primzahlen handelt. Doch diese Methode hat einen Nachteil: Sie ist nicht besonders schnell. Daran störte Infineon sich offenbar.

Deshalb hat das Unternehmen ein eigenes Verfahren entwickelt. Die genauen Details dazu sind nicht öffentlich, aber nach allem, was bisher bekannt ist, wurden wohl nur sehr spezielle Primzahlen ausgewählt. Damit wird das ganze Verfahren unsicher, da ein Angreifer nur eine eingeschränkte Zahl an Primzahlen durchprobieren muss.

In den meisten Fällen wäre das zwar nicht gerade günstig - die Entdecker schätzen die Kosten auf etwa 20.000 bis 40.000 Dollar pro angegriffenem Schlüssel, wenn man die nötige Rechenleistung bei Amazons Clouddienst AWS kaufen würde. Doch die Auswirkungen wären enorm. Man kann zwar jetzt die betroffenen Schlüssel austauschen, aber alles, was damit in der Vergangenheit verschlüsselt wurde, ist potenziell unsicher und kann von einem entsprechend finanzkräftigen Angreifer geknackt werden. In manchen Fällen muss auch die Hardware getauscht werden. Vom Imageschaden für Infineon, das BSI und den "Verschlüsselungsstandort Nummer eins", den die große Koalition in ihrer Digitalen Agenda heraufbeschworen hatte, ganz zu schweigen.

Das BSI schweigt 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 39,99€
  2. 16,99€
  3. (-80%) 3,99€

robinx999 20. Okt 2017

In Deutschland ja in Frankreich wurde der TÜV zu Schadensersatz verurteilt http://www...

M.P. 20. Okt 2017

NFL-Spieler versucht den fehlerhaften Chip in seinem Personalausweis unbrauchbar zu...

Lasse Bierstrom 20. Okt 2017

Wer Zertifikat liest und denkt dass ALLES abgesichert ist, darf sich genauso in die Ecke...

nicoledos 19. Okt 2017

Bei derartiger HW ist heute bereits sehr viel SW drin. Aber auch für Software in den...


Folgen Sie uns
       


LG Display CSO light angesehen (Light Building 2018)

Auf der Light + Building 2018 zeigt LG Display Licht, das auch Ton produziert.

LG Display CSO light angesehen (Light Building 2018) Video aufrufen
Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter


    Adblock Plus: Bundesgerichtshof erlaubt Einsatz von Werbeblockern
    Adblock Plus
    Bundesgerichtshof erlaubt Einsatz von Werbeblockern

    Der Bundesgerichtshof hat im Streit um die Nutzung von Werbeblockern entschieden: Eyeo verstößt mit Adblock Plus gegen keine Gesetze. Axel Springer hat nach dem Urteil angekündigt, Verfassungsbeschwerde einreichen zu wollen.

    1. Urheberrecht Easylist muss Anti-Adblocker-Domain entfernen

    Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
    Datenschutz
    Der Nutzer ist willig, doch die AGB sind schwach

    Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
    Ein Bericht von Christiane Schulzki-Haddouti

    1. Datenskandal Bundesregierung erwägt strenge Facebook-Regulierung
    2. Quartalsbericht Facebook macht fast 5 Milliarden US-Dollar Gewinn
    3. Soziales Netzwerk Facebook ermöglicht Einsprüche gegen Löschungen

      •  /