Yubico: Zertifizierung statt Open Source

Außerdem betroffen sind zahlreiche Yubikeys. Dabei handelt es sich um USB-Kryptomodule, die beispielsweise für 2-Faktor-Authentifizierung und zur Speicherung von PGP-Schlüsseln genutzt werden. Die dürften auch der Grund dafür sein, dass einige Schlüssel von Entwicklern freier Softwareprojekte verwundbar sind. Beispielsweise sind drei Schlüssel von Debian-Entwicklern betroffen.

Auch SSH-Keys von einigen Entwicklern waren betroffen, die vermutlich ebenfalls von Yubikeys stammten. Laut einem Bericht von Ars Technica hat Github 447 Nutzer über verwundbare Keys informiert.

Geradezu ironisch wirkt angesichts des Vorfalls ein Blogpost des Herstellers Yubico aus dem Jahr 2016. Darin argumentiert der Hersteller, dass man künftig nicht mehr auf Open-Source-Firmware setzen will. Stattdessen soll die Sicherheit über Zertifizierungssysteme gewährleistet werden. Verwiesen wird hier auf die Zertifizierung nach Common Criteria EAL 5+. Die Zertifizierung für die Infineon-RSA-Bibliothek wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt. Das BSI hat auf eine Reihe von Fragen von uns dazu bisher nicht geantwortet. Wir werden darüber berichten, sobald wir weitere Informationen erhalten haben.

Geradezu verheerend scheint sich die Lücke auf die Branche der Anbieter von zertifizierten Signaturlösungen nach dem deutschen Vertrauensdienstegesetz auszuwirken. Diese Signaturen erfüllen die Anforderungen der eIDAS-Verordnung der Europäischen Union.

Rob Stradling von der Firma Comodo hat die Daten der von ihm betriebenen Zertifikatssuchmaschine crt.sh nach verwundbaren Schlüsseln abgesucht. Praktisch alle wichtigen Anbieter von Signaturlösungen in Deutschland sind dabei vertreten: Die Telekom, die Bundesdruckerei (D-Trust), der deutsche Sparkassenverlag (S-Trust) und die deutsche Rentenversicherung. Auch die Firma Datev ist betroffen, allerdings handelt es sich dabei um nicht mehr genutzte Zertifikate, da Datev keine entsprechenden Signaturdienste mehr anbietet..

Verwundbar sind hier die jeweiligen Ausstellerzertifikate. Bei keinem der Anbieter fanden wir bislang irgendwelche öffentlichen Ankündigungen, was das für die Kunden bedeutet. Einzig die Telekom hat bislang auf unsere Anfrage geantwortet. Demnach sind die betroffenen Telekom-Zertifikate nicht mehr im Einsatz und wurden am 4. Juli von der Bundesnetzagentur gesperrt.

TLS kaum betroffen

Eher selten kamen die entsprechenden Produkte wohl für TLS-Verbindungen zum Einsatz. Beim bereits erwähnten Test von Rob Stradling wurden nur eine handvoll verwundbare Webseitenzertifikate gefunden, die meisten für kaum bekannte Webseiten. Ein einziges davon ist für einen Hostnamen von Yahoo ausgestellt.

Bei Zertifizierungsstellen für Webseitenzertifikate scheinen Infineon-Produkte nicht im Einsatz zu sein. Kein einziges der verwundbaren Zertifikate wird von einer entsprechenden Zertifizierungsstelle eingesetzt. Für TLS hat der gesamte Vorfall damit praktisch keine Auswirkungen.

Wer prüfen will, ob eigene Schlüssel betroffen sind, kann dazu die von den Entdeckern der Lücke bereitgestellten Test-Tools nutzen. Der Test unterstützt verschiedenste Arten von Schlüsseln, beispielsweise PGP-Schlüssel, SSH-Schlüssel und auch Zertifikatsdateien. Auch größere Mengen an Schlüsseln können damit relativ schnell geprüft werden. Ein Online-Test ist ebenfalls verfügbar.

Es ist wohl davon auszugehen, dass in den nächsten Tagen noch weitere von der Lücke betroffene Systeme bekannt werden. Insgesamt wirft die Lücke manche Frage auf. So gelten Hardware-Sicherheitslösungen oft als besonders sicher, sie haben allerdings den offensichtlichen Nachteil, dass es für Forscher viel schwieriger ist, die Sicherheit von Hardwarelösungen zu überprüfen. Auch die Frage, wie sinnvoll Zertifizierungssysteme wie Common Criteria angesichts solch fataler Sicherheitslücken sind, wird wohl noch für Diskussionsstoff sorgen.

Nachtrag vom 20. Oktober 2017, 11:24 Uhr

Wir haben einen Hinweis eingefügt, dass die von Datev verwendeten Zertifikate nicht mehr genutzt werden, da die Firma keine entsprechenden Dienste mehr anbietet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Estnische ID-Karten und TPM-Chips betroffen
  1.  
  2. 1
  3. 2
  4. 3


cpt.dirk 30. Apr 2018

Wieder einmal ist der Beweis erbracht, dass "Security by Obscurity" - und nichts anderes...

My1 20. Okt 2017

Gut ich hab mich mit dem store nie wirklich beschäftigt. Vor ner Ewigkeit stand iirc mal...

My1 20. Okt 2017

wieso eigentlich? gerade bitlocker braucht eh ne ewigkeit zum festplatte crypten, da...

mmarcel 19. Okt 2017

wirlich nicht ;-)



Aktuell auf der Startseite von Golem.de
Suchmaschine
Bing mit ChatGPT war für kurze Zeit online

Microsoft will ChatGPT in die Suchmaschine Bing einbauen. Was uns erwartet, konnten einige Nutzer kurzfristig sehen.

Suchmaschine: Bing mit ChatGPT war für kurze Zeit online
Artikel
  1. Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-Super-GAU
    Politische Ansichten auf Google Drive
    Letzte Generation mit Datenschutz-Super-GAU

    Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

  2. Madison Square Garden: Gesichtserkennungs-Software weist unliebsame Besucher ab
    Madison Square Garden
    Gesichtserkennungs-Software weist unliebsame Besucher ab

    Im New Yorker Madison Square Garden kommt seit Jahren Gesichtserkennungs-Software zum Einsatz - mit unangenehmen Folgen für Kanzleimitarbeiter.

  3. Nach Prämiensenkung: Weniger Marktanteil für Elektroautos 2023 erwartet
    Nach Prämiensenkung
    Weniger Marktanteil für Elektroautos 2023 erwartet

    Die Förderprämien für Elektroautos wurden gesenkt, was nach Ansicht der Autohersteller zu einem Rückgang des Marktanteils führen wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Roccat Magma + Burst Pro 59€ • Roccat Vulcan 121 89,99€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate: Toshiba MG10 20 TB 299€ • Alternate Weekend Sale • MindStar: Fastro MS200 SSD 2TB 95€ • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • RAM-Tiefstpreise • PCGH Cyber Week [Werbung]
    •  /