• IT-Karriere:
  • Services:

Yubico: Zertifizierung statt Open Source

Außerdem betroffen sind zahlreiche Yubikeys. Dabei handelt es sich um USB-Kryptomodule, die beispielsweise für 2-Faktor-Authentifizierung und zur Speicherung von PGP-Schlüsseln genutzt werden. Die dürften auch der Grund dafür sein, dass einige Schlüssel von Entwicklern freier Softwareprojekte verwundbar sind. Beispielsweise sind drei Schlüssel von Debian-Entwicklern betroffen.

Stellenmarkt
  1. ING Deutschland, Frankfurt
  2. Minebea Intec, Aachen

Auch SSH-Keys von einigen Entwicklern waren betroffen, die vermutlich ebenfalls von Yubikeys stammten. Laut einem Bericht von Ars Technica hat Github 447 Nutzer über verwundbare Keys informiert.

Geradezu ironisch wirkt angesichts des Vorfalls ein Blogpost des Herstellers Yubico aus dem Jahr 2016. Darin argumentiert der Hersteller, dass man künftig nicht mehr auf Open-Source-Firmware setzen will. Stattdessen soll die Sicherheit über Zertifizierungssysteme gewährleistet werden. Verwiesen wird hier auf die Zertifizierung nach Common Criteria EAL 5+. Die Zertifizierung für die Infineon-RSA-Bibliothek wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt. Das BSI hat auf eine Reihe von Fragen von uns dazu bisher nicht geantwortet. Wir werden darüber berichten, sobald wir weitere Informationen erhalten haben.

Geradezu verheerend scheint sich die Lücke auf die Branche der Anbieter von zertifizierten Signaturlösungen nach dem deutschen Vertrauensdienstegesetz auszuwirken. Diese Signaturen erfüllen die Anforderungen der eIDAS-Verordnung der Europäischen Union.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Rob Stradling von der Firma Comodo hat die Daten der von ihm betriebenen Zertifikatssuchmaschine crt.sh nach verwundbaren Schlüsseln abgesucht. Praktisch alle wichtigen Anbieter von Signaturlösungen in Deutschland sind dabei vertreten: Die Telekom, die Bundesdruckerei (D-Trust), der deutsche Sparkassenverlag (S-Trust) und die deutsche Rentenversicherung. Auch die Firma Datev ist betroffen, allerdings handelt es sich dabei um nicht mehr genutzte Zertifikate, da Datev keine entsprechenden Signaturdienste mehr anbietet..

Verwundbar sind hier die jeweiligen Ausstellerzertifikate. Bei keinem der Anbieter fanden wir bislang irgendwelche öffentlichen Ankündigungen, was das für die Kunden bedeutet. Einzig die Telekom hat bislang auf unsere Anfrage geantwortet. Demnach sind die betroffenen Telekom-Zertifikate nicht mehr im Einsatz und wurden am 4. Juli von der Bundesnetzagentur gesperrt.

TLS kaum betroffen

Eher selten kamen die entsprechenden Produkte wohl für TLS-Verbindungen zum Einsatz. Beim bereits erwähnten Test von Rob Stradling wurden nur eine handvoll verwundbare Webseitenzertifikate gefunden, die meisten für kaum bekannte Webseiten. Ein einziges davon ist für einen Hostnamen von Yahoo ausgestellt.

Bei Zertifizierungsstellen für Webseitenzertifikate scheinen Infineon-Produkte nicht im Einsatz zu sein. Kein einziges der verwundbaren Zertifikate wird von einer entsprechenden Zertifizierungsstelle eingesetzt. Für TLS hat der gesamte Vorfall damit praktisch keine Auswirkungen.

Wer prüfen will, ob eigene Schlüssel betroffen sind, kann dazu die von den Entdeckern der Lücke bereitgestellten Test-Tools nutzen. Der Test unterstützt verschiedenste Arten von Schlüsseln, beispielsweise PGP-Schlüssel, SSH-Schlüssel und auch Zertifikatsdateien. Auch größere Mengen an Schlüsseln können damit relativ schnell geprüft werden. Ein Online-Test ist ebenfalls verfügbar.

Es ist wohl davon auszugehen, dass in den nächsten Tagen noch weitere von der Lücke betroffene Systeme bekannt werden. Insgesamt wirft die Lücke manche Frage auf. So gelten Hardware-Sicherheitslösungen oft als besonders sicher, sie haben allerdings den offensichtlichen Nachteil, dass es für Forscher viel schwieriger ist, die Sicherheit von Hardwarelösungen zu überprüfen. Auch die Frage, wie sinnvoll Zertifizierungssysteme wie Common Criteria angesichts solch fataler Sicherheitslücken sind, wird wohl noch für Diskussionsstoff sorgen.

Nachtrag vom 20. Oktober 2017, 11:24 Uhr

Wir haben einen Hinweis eingefügt, dass die von Datev verwendeten Zertifikate nicht mehr genutzt werden, da die Firma keine entsprechenden Dienste mehr anbietet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Estnische ID-Karten und TPM-Chips betroffen
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Hardware-Angebote
  1. 499,99€
  2. (reduzierte Überstände, Restposten & Co.)

cpt.dirk 30. Apr 2018

Wieder einmal ist der Beweis erbracht, dass "Security by Obscurity" - und nichts anderes...

My1 20. Okt 2017

Gut ich hab mich mit dem store nie wirklich beschäftigt. Vor ner Ewigkeit stand iirc mal...

My1 20. Okt 2017

wieso eigentlich? gerade bitlocker braucht eh ne ewigkeit zum festplatte crypten, da...

mmarcel 19. Okt 2017

wirlich nicht ;-)


Folgen Sie uns
       


Samsung Galaxy S21 Ultra vorgestellt

Das Galaxy S21 Ultra ist das Topmodell von Samsungs neuer S21-Reihe und unterscheidet sich deutlich von den beiden anderen Modellen.

Samsung Galaxy S21 Ultra vorgestellt Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /