Einschleusen manipulierter Schlüssel soll "unmöglich" werden

Selbst wenn solche Angriffe und Manipulationen unbemerkt geschehen könnten, würde eine Entschlüsselung der Kontaktdaten immer noch das aktive Zutun der Betreiber voraussetzen. Denn die Kontaktdaten seien zusätzlich mit dem öffentlichen Schlüssel der jeweiligen Betreiber chiffriert. "Wir sind uns dieser theoretischen Angriffsmöglichkeit bewusst. Aus diesem Grund sieht unser kryptografisches Konzept schon immer vor, das Einschleusen von manipulierten Schlüsseln unmöglich zu machen", schreibt Nexenio.

Stellenmarkt
  1. Developer (m/w/d) Microsoft Dynamics 365 Business Central
    B.i.Team Gesellschaft für Softwareberatung mbH, Karlsruhe, München und Berlin
  2. IT-Systemadministrator als Fachgebietsleiter (m/w/d)
    SWU Stadtwerke Ulm/Neu-Ulm GmbH, Ulm
Detailsuche

So sollen die Apps der Nutzer die komplette kryptografische Kette bis hinauf zu der gewählten Zertifizierungsstelle prüfen, der Bundesdruckerei. "Die Apps verweigern daher das Chiffrieren von Kontaktdaten, wenn die digitalen Signaturen von den erwarteten Signaturen abweichen", hieß es weiter. Seit März 2021 würden die letzten hierfür nötigen Änderungen am System umgesetzt. "In einem ersten Schritt wurden alle ans Luca-System angeschlossenen Gesundheitsämter mit Zertifikaten von D-Trust ausgestattet", schreibt Nexenio.

Zusätzlicher Signierungsprozess

Mittels dieser Zertifikate von D-Trust, einer Tochterfirma der Bundesdruckerei, signierten die Ämter dann die von ihnen ins Luca-System eingespeisten Public Keys. "Diesen zusätzlichen Signierungsprozess haben wir im Juli 2021 angestoßen", erläutert Nexenio. Bislang hätten rund 300 der insgesamt 319 an Luca angebundenen Gesundheitsämter ihre Keys mit den neuen D-Trust-Zertifikaten signiert. "Es ist damit zu rechnen, dass bis Mitte September 100 Prozent der Ämter diesen Vorgang abgeschlossen haben. Sobald dies der Fall ist, wird der Programmcode der Luca-App nur noch mit D-Trust-Zertifikaten signierte Tagesschlüssel akzeptieren", schreibt Nexenio.

Auf einem ganz anderen Blatt steht die Frage, ob die von Luca erhobenen Daten den Gesundheitsämtern bei der Pandemiebekämpfung überhaupt nützlich sind. Schon der Nutzen der mit Papierlisten erhobenen Daten in Restaurants und an Veranstaltungsorten ist von Experten stark in Zweifel gezogen worden. Daran ändert auch die Digitalisierung der Daten wenig.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

So schrieb der Spiegel Mitte August dieses Jahres (Paywall) nach einer Befragung von mehr als 200 der knapp 400 Gesundheitsämter in Deutschland: "Von 114 Ämtern mit Luca-Anschluss hat die Hälfte noch nie Daten abgefragt. 86 Ämter antworteten mit detaillierteren Angaben, wie oft sie Luca-Daten seit Inbetriebnahme genutzt haben. In insgesamt rund 130 Fällen haben sie Luca-Daten von Restaurants, Friseuren oder ähnlichen Stellen angefordert, rund 60 Mal hätten die Daten geholfen, Infektionsketten zu verfolgen." Angesichts der hohen Ausgaben von mehr als 20 Millionen Euro in 13 Bundesländern für die Luca-Lizenzen erscheint das wenig.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

126.000 Warnungen in zehn Wochen

Auch das versuchen die Luca-Entwickler zu widerlegen. So teilten sie in dieser Woche mit: "In den zehn Wochen zwischen dem 1. Juni und dem 23. August forderten Gesundheitsämter 1.750 Mal von Betrieben gesammelte Kontaktdaten der betreffenden Besucher an. Eine direkte Folge dieser Anfragen waren über 126.000 Hinweise an Nutzer mittels der Luca-App über den Abruf ihrer Kontaktdaten und ein mögliches Infektionsrisiko."

Diese Informationen erhalten die Nutzer noch, bevor sie möglicherweise vom Gesundheitsamt telefonisch kontaktiert werden. Die Betroffenen hatten laut Luca damit die Gelegenheit, schon vor einer Kontaktaufnahme durch das Gesundheitsamt ihr eigenes Verhalten anzupassen. Der Mitteilung zufolge sollen 95 bis 99 Prozent der registrierten Bürger auf Basis der hinterlegten Daten durch die Ämter tatsächlich zu erreichen sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Verschlüsselung: Luca-App will alle "vernünftigen Bedenken" ausräumenCCC soll Nutzung falsch einschätzen 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


HabeHandy 28. Aug 2021 / Themenstart

Bei Veranstaltungen ist mindestens 3G vorgeschrieben das ab Oktober dank teurer Tests zu...

Blaubeerchen 28. Aug 2021 / Themenstart

Das Gesetz verlangt Kontaktdaten, aber wer sagt denn, dass eine zufällig generierte ID...

Blaubeerchen 28. Aug 2021 / Themenstart

Ich glaube nicht, dass er sich in diesem Thread je wieder sehen lässt und die Antworten...

alabiana 27. Aug 2021 / Themenstart

Der Ansatz ist ja gar nicht dumm. Man richtet die App bei sich ein und braucht nur noch...

ElTentakel 26. Aug 2021 / Themenstart

Danke

Kommentieren



Aktuell auf der Startseite von Golem.de
Venturi-Tunnel
Elektro-Motorrad mit Riesenloch auf der Teststrecke

White Motorcycle Concepts testet sein Elektromotorrad WMC250EV, bei dem der Fahrer auf einem riesigen Tunnel sitzt. Später soll es 400 km/h erreichen.

Venturi-Tunnel: Elektro-Motorrad mit Riesenloch auf der Teststrecke
Artikel
  1. Elektroauto: Cadillac Lyriq nach 19 Minuten weg
    Elektroauto
    Cadillac Lyriq nach 19 Minuten weg

    Einen der ersten Cadillac Lyriq zu reservieren, glich mehr einer Lotterie als einem Autokauf. In wenigen Minuten waren alle Luxus-Elektroautos vergriffen.

  2. Autos, Scooter und Fahrräder: Berlin reguliert Sharing-Mobilitätsangebote
    Autos, Scooter und Fahrräder
    Berlin reguliert Sharing-Mobilitätsangebote

    Die Nutzung des öffentlichen Raums durch Autos, Scooter und Fahrräder von Sharing-Unternehmen wird in Berlin reguliert.

  3. Abonnenten verunsichert: Apple hat Hörbücher aus Apple Music entfernt
    Abonnenten verunsichert
    Apple hat Hörbücher aus Apple Music entfernt

    Wer mit einem Musikstreamingabo Hörbücher hören will, muss von Apple Music zu Deezer, Spotify oder einem anderen Anbieter wechseln.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: MM-Club-Tage (u. a. SanDisk Ultra 3D 2 TB 142,15€) • Corsair Vengeance RGB PRO 16-GB-Kit DDR4-3200 71,39€ • Corsair RM750x 750 W 105,89€ • WD Elements Desktop 12 TB 211,65€ • Alternate (u. a. Creative SB Z SE 71,98€) • ASUS ROG Crosshair VIII Hero WiFi 269,99€ [Werbung]
    •  /