Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 877529

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Deutschland http://www.8com.de
Ansprechpartner:in Frau Felicitas Kraus +49 30 3030808914
Logo der Firma 8com GmbH & Co. KG

Zertifiziert und doch nicht sicher - Infineon und die RSA-Verschlüsselung

(PresseBox) (Neustadt an der Weinstraße, )
Ob Bio-Label, TÜV- oder Fair-Trade-Prüfsiegel – Menschen mögen Zertifikate. Solche Qualitätsnachweise geben uns ein gutes Gefühl. Und wir vertrauen darauf. Schließlich würden schlechte Produkte niemals ein Prädikat erhalten, oder? Grundsätzlich richtig, doch bei so manchem Siegel lohnt es sich, genauer hinzusehen. Manchmal können Prüfmethoden Schwächen haben. Das musste jetzt auch das Münchner Unternehmen Infineon feststellen.

Computerchips von Infineon kommen in vielen Produkten zum Einsatz. Von Laptops über die Verschlüsselungstokens YubiKey bis hin zu offiziellen Dokumenten wie dem Personalausweis in Estland oder der Slowakei – sie alle enthalten die Chip-Technik made in Germany. Dort ist sie für verschiedene Verschlüsselungsfunktionen zuständig und nutzt das sogenannte RSA-Verfahren. Das verwendet einen der gängigsten und sichersten Algorithmen für die Codierung von Daten – allerdings nur, wenn es korrekt angewendet wird. Und genau hier liegt das Problem der Infineon-Technologie, wie Sicherheitsforscher aus Tschechien und Slowenien im November auf einer Konferenz zeigen wollen.

Um den Fehler zu verstehen, muss man wissen, wie die RSA-Verschlüsselung funktioniert. Zur Erzeugung eines RSA-Schlüssels werden zwei zufällige Primzahlen generiert. Diese bleiben geheim und müssen so groß sein, dass sie von einem Angreifer nicht einfach erraten werden können. Das Problem dieser Vorgehensweise: Sie braucht ihre Zeit. Um den Vorgang zu beschleunigen, hat Infineon sein eigenes System entwickelt. Obwohl Einzelheiten nicht bekannt sind, wurden dabei offenbar nur bestimmte Primzahlen für die Codierung genutzt – und genau das ist der Haken. Angreifer müssen nur noch diese vom System verwendeten Primzahlen durchprobieren und können so die Verschlüsselung knacken. Das ist zwar teuer und braucht viel Rechenleistung, doch die Investition könnte sich bei sensiblen Zielen lohnen und von denen gibt es viele. Denn auch wenn die bisherigen Schlüssel nicht mehr zum Einsatz kommen, betrifft die Sicherheitslücke sämtliche bislang verschlüsselten Daten.

Doch warum ignorierte Infineon eine der Grundregeln der Verschlüsselung? Nach der sollte ein Algorithmus sich über einen längeren Zeitraum bewährt haben. Ganz einfach: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Infineons Verfahren überprüft und mit einem Zertifikat abgenickt. Und damit wären wir wieder am Anfang: Menschen vertrauen auf solche Prüfsiegel. In diesem Fall kamen zwei Prüfverfahren zur Anwendung: FIPS 140-2 und Common Criteria EAL 5+. Unklar ist, wie das Infineon-Verfahren diese beiden Tests bestanden hat. Noch schweigt das BSI, warum es in diesem Fall den Fehler bei der Erzeugung der RSA-Schlüssel nicht erkannt hat. Auch die Demonstration der beiden Forscher im November steht noch aus. Trotzdem zeigt der Fall, dass auch bei der Vergabe von Sicherheitssiegeln von Zeit zu Zeit Fehler gemacht werden.

Website Promotion

Website Promotion
Götz Schartner IT-Security-Blog

8com GmbH & Co. KG

Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen für Informationssicherheit in Europa. Seit zwölf Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Bei den hochspezialisierten Mitarbeitern handelt es sich um Penetrationstester, Information Security Consultants und Information Security Awareness-Spezialisten. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Prüfungen werden bei 8com von professionellen Auditoren durchgeführt, die über umfangreiches Wissen der praktischen IT-Sicherheit verfügen. Die Experten der 8com sind darauf spezialisiert, in Netzwerke einzudringen. Sie sind professionelle Hacker auf der richtigen Seite des Gesetzes. Alle Leistungen dienen der präventiven Abwehr von Hacking-Angriffen.

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.