Abo
  • Services:

Yubico: Zertifizierung statt Open Source

Außerdem betroffen sind zahlreiche Yubikeys. Dabei handelt es sich um USB-Kryptomodule, die beispielsweise für 2-Faktor-Authentifizierung und zur Speicherung von PGP-Schlüsseln genutzt werden. Die dürften auch der Grund dafür sein, dass einige Schlüssel von Entwicklern freier Softwareprojekte verwundbar sind. Beispielsweise sind drei Schlüssel von Debian-Entwicklern betroffen.

Stellenmarkt
  1. Drachen-Propangas GmbH, Frankfurt am Main
  2. Bosch Sicherheitssysteme GmbH, Hamburg

Auch SSH-Keys von einigen Entwicklern waren betroffen, die vermutlich ebenfalls von Yubikeys stammten. Laut einem Bericht von Ars Technica hat Github 447 Nutzer über verwundbare Keys informiert.

Geradezu ironisch wirkt angesichts des Vorfalls ein Blogpost des Herstellers Yubico aus dem Jahr 2016. Darin argumentiert der Hersteller, dass man künftig nicht mehr auf Open-Source-Firmware setzen will. Stattdessen soll die Sicherheit über Zertifizierungssysteme gewährleistet werden. Verwiesen wird hier auf die Zertifizierung nach Common Criteria EAL 5+. Die Zertifizierung für die Infineon-RSA-Bibliothek wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt. Das BSI hat auf eine Reihe von Fragen von uns dazu bisher nicht geantwortet. Wir werden darüber berichten, sobald wir weitere Informationen erhalten haben.

Geradezu verheerend scheint sich die Lücke auf die Branche der Anbieter von zertifizierten Signaturlösungen nach dem deutschen Vertrauensdienstegesetz auszuwirken. Diese Signaturen erfüllen die Anforderungen der eIDAS-Verordnung der Europäischen Union.

Rob Stradling von der Firma Comodo hat die Daten der von ihm betriebenen Zertifikatssuchmaschine crt.sh nach verwundbaren Schlüsseln abgesucht. Praktisch alle wichtigen Anbieter von Signaturlösungen in Deutschland sind dabei vertreten: Die Telekom, die Bundesdruckerei (D-Trust), der deutsche Sparkassenverlag (S-Trust) und die deutsche Rentenversicherung. Auch die Firma Datev ist betroffen, allerdings handelt es sich dabei um nicht mehr genutzte Zertifikate, da Datev keine entsprechenden Signaturdienste mehr anbietet..

Verwundbar sind hier die jeweiligen Ausstellerzertifikate. Bei keinem der Anbieter fanden wir bislang irgendwelche öffentlichen Ankündigungen, was das für die Kunden bedeutet. Einzig die Telekom hat bislang auf unsere Anfrage geantwortet. Demnach sind die betroffenen Telekom-Zertifikate nicht mehr im Einsatz und wurden am 4. Juli von der Bundesnetzagentur gesperrt.

TLS kaum betroffen

Eher selten kamen die entsprechenden Produkte wohl für TLS-Verbindungen zum Einsatz. Beim bereits erwähnten Test von Rob Stradling wurden nur eine handvoll verwundbare Webseitenzertifikate gefunden, die meisten für kaum bekannte Webseiten. Ein einziges davon ist für einen Hostnamen von Yahoo ausgestellt.

Bei Zertifizierungsstellen für Webseitenzertifikate scheinen Infineon-Produkte nicht im Einsatz zu sein. Kein einziges der verwundbaren Zertifikate wird von einer entsprechenden Zertifizierungsstelle eingesetzt. Für TLS hat der gesamte Vorfall damit praktisch keine Auswirkungen.

Wer prüfen will, ob eigene Schlüssel betroffen sind, kann dazu die von den Entdeckern der Lücke bereitgestellten Test-Tools nutzen. Der Test unterstützt verschiedenste Arten von Schlüsseln, beispielsweise PGP-Schlüssel, SSH-Schlüssel und auch Zertifikatsdateien. Auch größere Mengen an Schlüsseln können damit relativ schnell geprüft werden. Ein Online-Test ist ebenfalls verfügbar.

Es ist wohl davon auszugehen, dass in den nächsten Tagen noch weitere von der Lücke betroffene Systeme bekannt werden. Insgesamt wirft die Lücke manche Frage auf. So gelten Hardware-Sicherheitslösungen oft als besonders sicher, sie haben allerdings den offensichtlichen Nachteil, dass es für Forscher viel schwieriger ist, die Sicherheit von Hardwarelösungen zu überprüfen. Auch die Frage, wie sinnvoll Zertifizierungssysteme wie Common Criteria angesichts solch fataler Sicherheitslücken sind, wird wohl noch für Diskussionsstoff sorgen.

Nachtrag vom 20. Oktober 2017, 11:24 Uhr

Wir haben einen Hinweis eingefügt, dass die von Datev verwendeten Zertifikate nicht mehr genutzt werden, da die Firma keine entsprechenden Dienste mehr anbietet.

 Estnische ID-Karten und TPM-Chips betroffen
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. 19,99€
  2. 5€
  3. 3,99€
  4. 1,29€

My1 20. Okt 2017

Gut ich hab mich mit dem store nie wirklich beschäftigt. Vor ner Ewigkeit stand iirc mal...

My1 20. Okt 2017

wieso eigentlich? gerade bitlocker braucht eh ne ewigkeit zum festplatte crypten, da...

mmarcel 19. Okt 2017

wirlich nicht ;-)


Folgen Sie uns
       


AMD Ryzen 7 2700X - Test

Wie gut ist der Ryzen-Refresh? In Anwendungen schlägt er sich sehr gut und ist in Spielen oft überraschend flott. Besonders schön: die Abwärtskompatibilität.

AMD Ryzen 7 2700X - Test Video aufrufen
Facebook-Anhörung: Zuckerbergs Illusion von der vollen Kontrolle
Facebook-Anhörung
Zuckerbergs Illusion von der vollen Kontrolle

In einer mehrstündigen Anhörung vor dem US-Senat hat Facebook-Chef Mark Zuckerberg sein Unternehmen verteidigt. Doch des Öfteren hinterließ er den Eindruck, als wisse er selbst nicht genau, was er in den vergangenen Jahren da geschaffen hat.
Eine Analyse von Friedhelm Greis

  1. Facebook Messenger Zuckerbergs Nachrichten heimlich auf Nutzerkonten gelöscht
  2. Böswillige Akteure Die meisten der zwei Milliarden Facebook-Profile ausgelesen
  3. DSGVO Zuckerberg will EU-Datenschutz nicht weltweit anwenden

Razer Nommo Chroma im Test: Blinkt viel, klingt weniger
Razer Nommo Chroma im Test
Blinkt viel, klingt weniger

Wenn die Razer Nommo Chroma eines sind, dann auffällig. Dafür sorgen die ungewöhnliche Form und die LED-Ringe, die sich beliebig konfigurieren lassen. Die Lautsprecher sind aber eher ein Hingucker als ein Hinhörer.
Ein Test von Oliver Nickel

  1. Razer Kiyo und Seiren X im Test Nicht professionell, aber schnell im Einsatz
  2. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  3. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

    •  /