Zertifiziert und doch nicht sicher – Infineon und die RSA-Verschlüsselung

Ob Bio-Label, TÜV- oder Fair-Trade-Prüfsiegel – Menschen mögen Zertifikate. Solche Qualitätsnachweise geben uns ein gutes Gefühl. Und wir vertrauen darauf. Schließlich würden schlechte Produkte niemals ein Prädikat erhalten, oder? Grundsätzlich richtig, doch bei so manchem Siegel lohnt es sich, genauer hinzusehen. Manchmal können Prüfmethoden Schwächen haben. Das musste jetzt auch das Münchner Unternehmen Infineon feststellen.

Computerchips von Infineon kommen in vielen Produkten zum Einsatz. Von Laptops über die Verschlüsselungstokens YubiKey bis hin zu offiziellen Dokumenten wie dem Personalausweis in Estland oder der Slowakei – sie alle enthalten die Chip-Technik made in Germany. Dort ist sie für verschiedene Verschlüsselungsfunktionen zuständig und nutzt das sogenannte RSA-Verfahren. Das verwendet einen der gängigsten und sichersten Algorithmen für die Codierung von Daten – allerdings nur, wenn es korrekt angewendet wird. Und genau hier liegt das Problem der Infineon-Technologie, wie Sicherheitsforscher aus Tschechien und Slowenien im November auf einer Konferenz zeigen wollen.

Um den Fehler zu verstehen, muss man wissen, wie die RSA-Verschlüsselung funktioniert. Zur Erzeugung eines RSA-Schlüssels werden zwei zufällige Primzahlen generiert. Diese bleiben geheim und müssen so groß sein, dass sie von einem Angreifer nicht einfach erraten werden können. Das Problem dieser Vorgehensweise: Sie braucht ihre Zeit. Um den Vorgang zu beschleunigen, hat Infineon sein eigenes System entwickelt. Obwohl Einzelheiten nicht bekannt sind, wurden dabei offenbar nur bestimmte Primzahlen für die Codierung genutzt – und genau das ist der Haken. Angreifer müssen nur noch diese vom System verwendeten Primzahlen durchprobieren und können so die Verschlüsselung knacken. Das ist zwar teuer und braucht viel Rechenleistung, doch die Investition könnte sich bei sensiblen Zielen lohnen und von denen gibt es viele. Denn auch wenn die bisherigen Schlüssel nicht mehr zum Einsatz kommen, betrifft die Sicherheitslücke sämtliche bislang verschlüsselten Daten.

Doch warum ignorierte Infineon eine der Grundregeln der Verschlüsselung? Nach der sollte ein Algorithmus sich über einen längeren Zeitraum bewährt haben. Ganz einfach: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Infineons Verfahren überprüft und mit einem Zertifikat abgenickt. Und damit wären wir wieder am Anfang: Menschen vertrauen auf solche Prüfsiegel. In diesem Fall kamen zwei Prüfverfahren zur Anwendung: FIPS 140-2 und Common Criteria EAL 5+. Unklar ist, wie das Infineon-Verfahren diese beiden Tests bestanden hat. Noch schweigt das BSI, warum es in diesem Fall den Fehler bei der Erzeugung der RSA-Schlüssel nicht erkannt hat. Auch die Demonstration der beiden Forscher im November steht noch aus. Trotzdem zeigt der Fall, dass auch bei der Vergabe von Sicherheitssiegeln von Zeit zu Zeit Fehler gemacht werden.

Über die 8com GmbH & Co. KG

Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen für Informationssicherheit in Europa. Seit zwölf Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Bei den hochspezialisierten Mitarbeitern handelt es sich um Penetrationstester, Information Security Consultants und Information Security Awareness-Spezialisten. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Prüfungen werden bei 8com von professionellen Auditoren durchgeführt, die über umfangreiches Wissen der praktischen IT-Sicherheit verfügen. Die Experten der 8com sind darauf spezialisiert, in Netzwerke einzudringen. Sie sind professionelle Hacker auf der richtigen Seite des Gesetzes. Alle Leistungen dienen der präventiven Abwehr von Hacking-Angriffen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Eva-Maria Nachtigall
Projekt – SpardaSurfSafe
Telefon: +49 (6321) 48446-0
E-Mail: info@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel