Es wird dunkel
in der Welt der digitalen Zertifikate.
Zum Austausch sensibler Informationen hat die Menschheit die Verschlüsselung erfunden. So werden Daten welche auf Ausweisen, Karten und Servern gespeichert sind oder sich im Austausch befinden mit einem digitalen Zertifikat verschlüsselt und damit vor ungewollter Einsichtnahme und Veränderung geschützt.
Soweit die Theorie.
Da diese Form der Verschlüsselung auf Software basiert, ist sie deshalb auch nur so sicher wie die Software selbst es gewährleisten kann und die eingesetzten Verfahren zur Verschlüsselung als sicher gelten. Nun ist der Mensch als solches leider fehlbar, so dass es vorkommt, dass (bewusst- oder unbewusst) Fehler in Programmen und Verfahren eingebaut werden, die deren zu schützenwertes Gut (in diesem Fall digitale Zertifikate) angreifbar machen. So geschehen in einem Softwaremodul der Infineon Technologies AG, welches mit dem RSA Verschlüsselungsalgorithmus auf Millionen von Rechnern zur Erzeugung digitaler Zertifikate genutzt wurde und wird.
Problemlage
Durch die Schwachstelle lässt sich der private- und damit als geheim geltende Schlüssel des erzeugten digitalen Zertifikates errechnen. Betroffene Hersteller sind u.a. die Bundesdruckerei, Microsoft, Google, HP, Lenovo, Fujitsu um nur einige zu nennen. In der Folge sind somit bspw. Produkte wie Ausweisdokumente, Gesundheitskarten, Token, TPM/Bitlocker, Software Signaturen, TLS/HTTPS Schlüssel und PGP betroffen. Die Estländischen Ausweise werden bereits ausgetauscht. Ref. [2] [3]
Lösung
Sie sollten prüfen, ob ihre digitalen Zertifakte von der Schwachstelle betroffen sind. Dazu gibt es verschedene Möglichkeiten, für einige weinige Zertifikate bietet sich die Überprüfung auf Online-Portalen wie keyches oder Cryptosense. Achten Sie darauf, dass Sie ihren öffentlichen Schlüssel dort einstellen (niemals den privaten). Ref. [6] [7] Natürlich können Sie auch in ihrer eigenen Umgebung mit einem Script prüfen, ob Ihre Zertifikate betroffen sind. Ref. [8]
Sollten Ihre Zertifikate betroffen sein, muss
die Hardware auf der dieses Zertifikat erstellt wurde mit einem Update versehen werden
das betroffene digitale Zertifikat für ungültig erklärt werden
ein neues Zertifikat erzeugt- und ausgerollt- bzw. mit diesem erneut verschlüsselt werden
Fazit
Damit sind alle privaten digitalen RSA Zertifikate, welche mit dieser Technoligie erzeugt wurden, kompromitierbar und müssen erneuert werden. Die Auswirkungen kann man getrost einen Super GAU nennen. Amtliche Ausweisdokumente, Verschlüsselte Festplatten, Virtual Private Network (VPN), Bankverbindungen, etc. sind damit kompromitierbar. Die Bestandsaufnahme und der Austuasch betroffener digitaler Zertifikate wird Millionen kosten. Vor diesem Hintergrund sollte man sich fragen, wann die Hersteller von Software und Verfahren endlich zu einer durchsetzbaren Produkthaftung herangezogen werden, ähnl. der der Automobilindustrie.
Quellen zum Thema
[1] Öffentlich gemacht wurde die Schwachstelle vom Centre for Research on Cryptography and Security (Engl.)
[2] Schwachstelle betrifft Estonische Ausweisdokumente (Engl.)
[3] Schwachstelle betrifft Estonische Ausweisdokumente (Artikel in der FAZ)
[4] Bruce Schneier's Block zum Thema: Schneider on Security (Engl.)
[5] Artikel der Welt zum Thema: Unsichere Verschlüsselung – trotz Zertifikat vom Bundesamt
[6] Online Zertifikatstest-Portal von keychest
[7] Online Zertifikatstest-Portal von Cryptosens
[8] Python-Script für den offline Zertifikatstest
Die hier gemachten Angaben sind als allgemeine Information zu verstehen und erheben keinen Anspruch auf Vollständigkeit und Rechtsverbindlichkeit. Für rchtsverbindliche Ausküfte wenden Sie sich bitte an einen Experten für Public Key Infrastructure.
Copyright © 2017 J. Schecker • Pointhope Informationssicherheit & Datenschutz