Computerchips von Infineon kommen in vielen Produkten zum Einsatz. Von Laptops über die Verschlüsselungstokens YubiKey bis hin zu offiziellen Dokumenten wie dem Personalausweis in Estland oder der Slowakei – sie alle enthalten die Chip-Technik made in Germany. Dort ist sie für verschiedene Verschlüsselungsfunktionen zuständig und nutzt das sogenannte RSA-Verfahren. Das verwendet einen der gängigsten und sichersten Algorithmen für die Codierung von Daten – allerdings nur, wenn es korrekt angewendet wird. Und genau hier liegt das Problem der Infineon-Technologie, wie Sicherheitsforscher aus Tschechien und Slowenien im November auf einer Konferenz zeigen wollen.
Um den Fehler zu verstehen, muss man wissen, wie die RSA-Verschlüsselung funktioniert. Zur Erzeugung eines RSA-Schlüssels werden zwei zufällige Primzahlen generiert. Diese bleiben geheim und müssen so groß sein, dass sie von einem Angreifer nicht einfach erraten werden können. Das Problem dieser Vorgehensweise: Sie braucht ihre Zeit. Um den Vorgang zu beschleunigen, hat Infineon sein eigenes System entwickelt. Obwohl Einzelheiten nicht bekannt sind, wurden dabei offenbar nur bestimmte Primzahlen für die Codierung genutzt – und genau das ist der Haken. Angreifer müssen nur noch diese vom System verwendeten Primzahlen durchprobieren und können so die Verschlüsselung knacken. Das ist zwar teuer und braucht viel Rechenleistung, doch die Investition könnte sich bei sensiblen Zielen lohnen und von denen gibt es viele. Denn auch wenn die bisherigen Schlüssel nicht mehr zum Einsatz kommen, betrifft die Sicherheitslücke sämtliche bislang verschlüsselten Daten.
Doch warum ignorierte Infineon eine der Grundregeln der Verschlüsselung? Nach der sollte ein Algorithmus sich über einen längeren Zeitraum bewährt haben. Ganz einfach: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Infineons Verfahren überprüft und mit einem Zertifikat abgenickt. Und damit wären wir wieder am Anfang: Menschen vertrauen auf solche Prüfsiegel. In diesem Fall kamen zwei Prüfverfahren zur Anwendung: FIPS 140-2 und Common Criteria EAL 5+. Unklar ist, wie das Infineon-Verfahren diese beiden Tests bestanden hat. Noch schweigt das BSI, warum es in diesem Fall den Fehler bei der Erzeugung der RSA-Schlüssel nicht erkannt hat. Auch die Demonstration der beiden Forscher im November steht noch aus. Trotzdem zeigt der Fall, dass auch bei der Vergabe von Sicherheitssiegeln von Zeit zu Zeit Fehler gemacht werden.
Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen für Informationssicherheit in Europa. Seit zwölf Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Bei den hochspezialisierten Mitarbeitern handelt es sich um Penetrationstester, Information Security Consultants und Information Security Awareness-Spezialisten. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Prüfungen werden bei 8com von professionellen Auditoren durchgeführt, die über umfangreiches Wissen der praktischen IT-Sicherheit verfügen. Die Experten der 8com sind darauf spezialisiert, in Netzwerke einzudringen. Sie sind professionelle Hacker auf der richtigen Seite des Gesetzes. Alle Leistungen dienen der präventiven Abwehr von Hacking-Angriffen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Projekt – SpardaSurfSafe
Telefon: +49 (6321) 48446-0
E-Mail: info@8com.de