Verschlüsselung: Luca-App will alle "vernünftigen Bedenken" ausräumen

Nach Ansicht der Berliner Datenschutzbeauftragten hat das Kryptokonzept der Luca-App Schwächen. Hersteller Nexenio bessert nach.

Ein Bericht von veröffentlicht am
Die Luca-App ist immer noch weit verbreitet.
Die Luca-App ist immer noch weit verbreitet. (Bild: Nexenio / Montage: Golem.de)

Die Verschlüsselung der Nutzerdaten bei der Luca-App ist nach Ansicht der Berliner Datenschutzbeauftragten Maja Smoltczyk nicht so sicher, wie es der Hersteller Nexenio immer behauptet. Ihr zufolge ist das Verschlüsselungskonzept derzeit so umgesetzt, dass die Vertraulichkeit der verschlüsselten Daten verloren gehen kann. Laut Nexenio sollen durch einen zusätzlichen Signierungsprozess bis Mitte September "sämtliche objektiv vernünftigen Bedenken nach dem jetzigen Stand der Technik ausgeräumt sein".

Inhalt:
  1. Verschlüsselung: Luca-App will alle "vernünftigen Bedenken" ausräumen
  2. Einschleusen manipulierter Schlüssel soll "unmöglich" werden
  3. CCC soll Nutzung falsch einschätzen

Die Datenschutzbehörde hatte Mitte August 2021 ihre Bedenken gegen die Luca-App im Berliner Abgeordnetenhaus vorgebracht. Auf Nachfrage von Golem.de teilte die Behörde mit, nicht in die Anschaffung der App durch den Senat eingebunden gewesen zu sein.

Reihe von Mängeln festgestellt

Auf eigene Initiative habe sie jedoch am 26. Februar 2021 ein Prüfverfahren gegen den Anbieter Culture4Life eingeleitet. Seitdem habe es mehrere Gespräche zu Fragen des Datenschutzes und der Datensicherheit gegeben. "Wir haben im Zuge der Prüfung eine Reihe von Mängeln festgestellt. Die datenschutzrechtlichen Vorgaben, die nicht nur Culture4Life als Betreiber, sondern auch die Veranstalter und die Gesundheitsämter als Verantwortliche treffen, werden nicht durchgängig eingehalten", teilte die Behörde mit. Die Defizite beträfen sowohl technische als auch rechtliche Aspekte des Verfahrens.

Mit Blick auf das eingesetzte Kryptokonzept heißt es: "Die von Culture4Life eingesetzten Verschlüsselungsverfahren für die Kontaktdaten entsprechen nach unseren derzeitigen Kenntnissen im Wesentlichen dem Stand der Technik. Die Wirksamkeit der Verschlüsselung hängt jedoch direkt von der Integrität und Vertraulichkeit der eingesetzten Schlüssel ab. So, wie das Verfahren derzeit umgesetzt ist, kann eine Kompromittierung von einzelnen IT-Systemen des Betreibers zu einem Verlust der Vertraulichkeit der verwendeten Schlüssel und damit auch der an sich verschlüsselt gespeicherten Daten führen."

Angreifer könnte Schlüssel ersetzen

Stellenmarkt
  1. Technology Generalist Business Innovation (m/w/d)
    ALDI SÜD Dienstleistungs-GmbH & Co. oHG, Mülheim an der Ruhr
  2. IT-Security-Analyst / Security Engineer (m/w/d)
    C.D. Wälzholz GmbH & Co. KG, Hagen
Detailsuche

Der Datenschutzbehörde zufolge ist dies eine Folge der zentralisierten Architektur des Systems. Darüber hinaus fielen bei dem Betreiber weitere Verkehrsdaten an, "die es unter Umgehung der Verschlüsselung der Kontaktdaten der betroffenen Personen ermöglichen, die zwar pseudonymisiert, aber unverschlüsselt gespeicherten Daten über die Anwesenheit von Personen bei Veranstaltungen etc. diesen Personen zuzuordnen und damit zu individualisieren".

  • Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)
  • Die Luca-App verwendet dazu die Verschlüsselungsverfahren AES 128 CTR und das Authentifizierungsverfahren HMAC SHA-256. (Grafik: Luca App/Screenshot: Golem.de)
  • Es gibt nur einen Tagesschlüssel für alle Gesundheitsämter, der die Kontaktdaten verschlüsselt. (Grafik: Luca App/Screenshot: Golem.de)
  • Die infizierte Person leitet die Daten freiwillig an das Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Luca gibt die Daten zu einzelnen Veranstaltungen an das anfragende Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Die verwendeten kryptographischen Verfahren (Grafik: Luca App/Screenshot: Golem.de)
  • Der Quellcode der App wurde Ende März 2021 veröffentlicht. (Grafik: Luca App/Screenshot: Golem.de)
Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)
Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Auf Anfrage von Golem.de räumte die Entwicklerfirma Nexenio ein, dass die "theoretische Möglichkeit" bestehe, dass ein Angreifer die von Apps zum Verschlüsseln der Kontaktdaten verwendeten kryptografischen Schlüssel, sogenannte Tagesschlüssel, durch von ihm kontrollierte Keys ersetzen könnte. "Hierzu wären aber die vollständige Kontrolle über die Backend-Infrastruktur des Luca-Systems sowie umfassende Manipulationen dieser Infrastruktur nötig. Dies würde aber von den Luca-Monitoring-Systemen bemerkt", hieß es weiter.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Einschleusen manipulierter Schlüssel soll "unmöglich" werden 
  1. 1
  2. 2
  3. 3
  4.  


HabeHandy 28. Aug 2021 / Themenstart

Bei Veranstaltungen ist mindestens 3G vorgeschrieben das ab Oktober dank teurer Tests zu...

Blaubeerchen 28. Aug 2021 / Themenstart

Das Gesetz verlangt Kontaktdaten, aber wer sagt denn, dass eine zufällig generierte ID...

Blaubeerchen 28. Aug 2021 / Themenstart

Ich glaube nicht, dass er sich in diesem Thread je wieder sehen lässt und die Antworten...

alabiana 27. Aug 2021 / Themenstart

Der Ansatz ist ja gar nicht dumm. Man richtet die App bei sich ein und braucht nur noch...

ElTentakel 26. Aug 2021 / Themenstart

Danke

Kommentieren



Aktuell auf der Startseite von Golem.de
Cyrcle Phone 2.0
Rundes Smartphone soll 700 Euro kosten

Dass Mobiltelefone in den letzten 20 Jahren meist nicht rund gewesen sind, scheint einen guten Grund zu haben, wie das Cyrcle Phone 2.0 zeigt.

Cyrcle Phone 2.0: Rundes Smartphone soll 700 Euro kosten
Artikel
  1. A New Beginning: Jetzt wird Outcast wirklich fortgesetzt
    A New Beginning
    Jetzt wird Outcast wirklich fortgesetzt

    Rund 22 Jahre nach dem Start des ersten Teils gibt es die Ankündigung von Outcast 2 für Xbox Series X/S, Playstation 5 und Windows-PC.

  2. Bundesinnenministerium: Nur jede neunte Verwaltungsleistung ist digitalisiert
    Bundesinnenministerium
    Nur jede neunte Verwaltungsleistung ist digitalisiert

    Meldebescheinigungen oder Baugenehmigungen warten weiter auf die Digitalisierung.

  3. Smartphones: Huawei versucht nicht mehr, die besten Produkte zu machen
    Smartphones
    Huawei versucht nicht mehr, die besten Produkte zu machen

    Das Handelsembargo der USA gegen Huawei zeigt Wirkung, wenn auch anders als geplant.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • iPhone 13: jetzt alle Modelle vorbestellbar • Sony Pulse 3D PS5-Headset Midnight Black vorbestellbar 89,99€ • Breaking Deals mit Club-Rabatten (u. a. Samsung 65" QLED 1.189,15€) • WD Black SN750 1TB 96,99€ • Amazon Exklusives in 4K-UHD • GP Anniversary Sale: History & War [Werbung]
    •  /