Start  »  Unqualifiziert qualifiziert

Unqualifiziert qualifiziert

Geschrieben auf 1 Jul, 2010 und 17:42 Presse, Signatur-Aktuell | angezeigt 157 |
Tagged mit:     

Damit eine elektronische Signatur als „qualifizierte“ gilt, muss sie bekanntlich etliche Voraussetzungen erfüllen. Eine davon ist, dass sie mit technischen Kom-ponenten erstellt wurde, deren Sicherheit durch eine von der Bundesnetzagentur (BNetzA) anerkannte Stelle überprüft und bestätigt wurde.

Seit dem 19.12.2008 besitzt der Chipkar-tenleser „Kobil KAAN TriB@nk“ eine solche Bestätigung. Am 17.04.2010 veröffentlichte ein Unbekannter unter dem Pseudonym ‚Colibri’ eine Dokumentation, die zeigt, wie eine manipulierte Firmware in diesen Leser geladen werden kann. Damit ließen sich zumindest theoretisch nicht nur die PINs von Karteninha-bern abfangen, sondern auch heimlich weitere Signaturen erzeugen.

Der Fehler: Der Leser validierte beim Update zwar die Signatur des Herstellers über die übertragenen Datenblöcke, prüfte jedoch nicht, ob die Blöcke auch in der richtigen Reihenfolge an der beabsichtigten Stelle im Speicher landen. Dass diese (inzwischen gepatchte) Lücke bei der Prüfung des Geräts übersehen wurde, zeigt, wie auch Prof. Dr. Rainer W. Gerling von der Max-Planck-Gesellschaft kommentier-te, dass selbst eine standardisierte Zertifizierungsprüfung letztlich auf individuellem Geschick und Erfahrung des Prüfers basiert.

Am 07.06.2010 erklärte die BNetzA die Sicherheitsbestätigung des Geräts für ungültig – mit Wirkung zum Veröffentlichungstag des Angriffs. Damit schuf sie unvermeidlich zwei neue Klassen von elek-tronischen Signaturen (vgl. SSN 04/2009): Alle zwischen dem 17.04. und 07.06.2010 mit dem TriB@nk-Leser erstellten Signaturen wur-den rückwirkend zu „dann doch nicht ganz so qualifizierten Signatu-ren“, alle zwischen dem 19.12.2008 und dem 17.04.2010 erstellten zu „qualifizierten, die möglicherweise gefälscht sein könnten“.

Bleibt ein profanes Problem: Woran erkennt man, sofern man möchte, bei der Prüfung einer Signatur, mit welchem Chipkarten-leser sie erstellt wurde?

Quelle: Secorvo Security News 06/2010, 9. Jahrgang, Stand 01.07.2010 1

http://www.secorvo-security-news.de/

http://colibri.net63.net/Smartcard-Reader%20von%20Kobil%20geknackt.pdf

http://www.bundesnetzagentur.de

Tagged mit:     

Kommentare sind geschlossen..

- Werbung -