Yubico: Zertifizierung statt Open Source

Außerdem betroffen sind zahlreiche Yubikeys. Dabei handelt es sich um USB-Kryptomodule, die beispielsweise für 2-Faktor-Authentifizierung und zur Speicherung von PGP-Schlüsseln genutzt werden. Die dürften auch der Grund dafür sein, dass einige Schlüssel von Entwicklern freier Softwareprojekte verwundbar sind. Beispielsweise sind drei Schlüssel von Debian-Entwicklern betroffen.

Stellenmarkt
  1. Software Ingenieur*in (d/m/w) Equipment Integration
    OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
  2. Junior IT-Projektmanager (m/w/d)
    Rieker Holding AG, Thayngen (Schweiz)
Detailsuche

Auch SSH-Keys von einigen Entwicklern waren betroffen, die vermutlich ebenfalls von Yubikeys stammten. Laut einem Bericht von Ars Technica hat Github 447 Nutzer über verwundbare Keys informiert.

Geradezu ironisch wirkt angesichts des Vorfalls ein Blogpost des Herstellers Yubico aus dem Jahr 2016. Darin argumentiert der Hersteller, dass man künftig nicht mehr auf Open-Source-Firmware setzen will. Stattdessen soll die Sicherheit über Zertifizierungssysteme gewährleistet werden. Verwiesen wird hier auf die Zertifizierung nach Common Criteria EAL 5+. Die Zertifizierung für die Infineon-RSA-Bibliothek wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt. Das BSI hat auf eine Reihe von Fragen von uns dazu bisher nicht geantwortet. Wir werden darüber berichten, sobald wir weitere Informationen erhalten haben.

Geradezu verheerend scheint sich die Lücke auf die Branche der Anbieter von zertifizierten Signaturlösungen nach dem deutschen Vertrauensdienstegesetz auszuwirken. Diese Signaturen erfüllen die Anforderungen der eIDAS-Verordnung der Europäischen Union.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
Weitere IT-Trainings

Rob Stradling von der Firma Comodo hat die Daten der von ihm betriebenen Zertifikatssuchmaschine crt.sh nach verwundbaren Schlüsseln abgesucht. Praktisch alle wichtigen Anbieter von Signaturlösungen in Deutschland sind dabei vertreten: Die Telekom, die Bundesdruckerei (D-Trust), der deutsche Sparkassenverlag (S-Trust) und die deutsche Rentenversicherung. Auch die Firma Datev ist betroffen, allerdings handelt es sich dabei um nicht mehr genutzte Zertifikate, da Datev keine entsprechenden Signaturdienste mehr anbietet..

Verwundbar sind hier die jeweiligen Ausstellerzertifikate. Bei keinem der Anbieter fanden wir bislang irgendwelche öffentlichen Ankündigungen, was das für die Kunden bedeutet. Einzig die Telekom hat bislang auf unsere Anfrage geantwortet. Demnach sind die betroffenen Telekom-Zertifikate nicht mehr im Einsatz und wurden am 4. Juli von der Bundesnetzagentur gesperrt.

TLS kaum betroffen

Eher selten kamen die entsprechenden Produkte wohl für TLS-Verbindungen zum Einsatz. Beim bereits erwähnten Test von Rob Stradling wurden nur eine handvoll verwundbare Webseitenzertifikate gefunden, die meisten für kaum bekannte Webseiten. Ein einziges davon ist für einen Hostnamen von Yahoo ausgestellt.

Bei Zertifizierungsstellen für Webseitenzertifikate scheinen Infineon-Produkte nicht im Einsatz zu sein. Kein einziges der verwundbaren Zertifikate wird von einer entsprechenden Zertifizierungsstelle eingesetzt. Für TLS hat der gesamte Vorfall damit praktisch keine Auswirkungen.

Wer prüfen will, ob eigene Schlüssel betroffen sind, kann dazu die von den Entdeckern der Lücke bereitgestellten Test-Tools nutzen. Der Test unterstützt verschiedenste Arten von Schlüsseln, beispielsweise PGP-Schlüssel, SSH-Schlüssel und auch Zertifikatsdateien. Auch größere Mengen an Schlüsseln können damit relativ schnell geprüft werden. Ein Online-Test ist ebenfalls verfügbar.

Es ist wohl davon auszugehen, dass in den nächsten Tagen noch weitere von der Lücke betroffene Systeme bekannt werden. Insgesamt wirft die Lücke manche Frage auf. So gelten Hardware-Sicherheitslösungen oft als besonders sicher, sie haben allerdings den offensichtlichen Nachteil, dass es für Forscher viel schwieriger ist, die Sicherheit von Hardwarelösungen zu überprüfen. Auch die Frage, wie sinnvoll Zertifizierungssysteme wie Common Criteria angesichts solch fataler Sicherheitslücken sind, wird wohl noch für Diskussionsstoff sorgen.

Nachtrag vom 20. Oktober 2017, 11:24 Uhr

Wir haben einen Hinweis eingefügt, dass die von Datev verwendeten Zertifikate nicht mehr genutzt werden, da die Firma keine entsprechenden Dienste mehr anbietet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Estnische ID-Karten und TPM-Chips betroffen
  1.  
  2. 1
  3. 2
  4. 3


Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation
Ist eine scheinexistente Behörde für Wikipedia relevant?

Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
Artikel
  1. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

  2. Bitcoin, Ethereum: Was steuerlich bei Kryptowährungen gilt
    Bitcoin, Ethereum
    Was steuerlich bei Kryptowährungen gilt

    Kryptowährungen wie Bitcoin sind unter Anlegern beliebt - doch wie muss man die Gewinne eigentlich versteuern?

  3. Neues Geschäftsmodell: Luca-App plant flexible Abos und will Preise senken
    Neues Geschäftsmodell
    Luca-App plant flexible Abos und will Preise senken

    Angesichts drohender Kündigungen will die Luca-App den Bundesländern entgegenkommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.489€ • Samsung QLED-TVs günstiger • Asus Gaming-Notebook 17“ R9 RTX3060 1.599€ • Seagate 20TB SATA HDD [Werbung]
    •  /