Das russische Softwarehaus ElcomSoft hat eine Untersuchung von Nikon Image Authentication System, einem Programmpaket zur Echtheitsüberprüfung der mit Nikon-Kameras gemachten Fotos, betriebt und eine Schwachstelle gefunden. Die Sicherheitslücke ermöglicht es, den Signaturschlüssel aus Nikon-Kameras zu extrahieren und damit gefälschte Fotos und andere digitale Bilder zu signieren. Der Firma ElcomSoft ist es gelungen, den originalen Signaturschlüssel zu extrahieren und eine Reihe von manipulierten Bildern zu erstellen, die von Nikon Image Authentication Software als authentisch bestätigt werden.
ElcomSoft hat Nikon die Schwachstelle zur Kenntnis gebracht, indem die Firma den Kamera-Hersteller als auch CERT Coordination Center benachrichtigte. Das Softwarehaus hat auch eine Menge von gefälschten Bildern, die von Nikon Image Authetication System als unbearbeitet identifiziert wurden, vorbereitet. Nikon hat kein Interesse daran bekundet.
Image Authentication System von Nikon
Zusammen mit in alle professionellen Nikon-Spiegelreflexkameras integriertem Signatur-Modul, wurde Image Authentication System benutzt, um zu prüfen, ob nach der Aufnahme Änderungen an dem Bild vorgenommen wurden. Wie Nikon bahauptete, wurde die Software für Polizei und Behörden, Versicherungsfirmen, Unternehmen und Nachrichtenagenturen ausgelegen, um damit die Authentizität der Fotos zu überprüfen. ElcomSoft hat demonstriert, dass die Software zur Bild-Authentifikation von Canon und Nikon keine Versprechen der Hersteller erfüllt.
Hintergrund
Die Glaubwürdigkeit des Fotobeweismaterials ist hochwichtig, weil Gerichte, Nachrichtenagenturen und Versicherungsfirmen können die mit Verifikationssystem signierten Bilder als überzeugende Beweise akzeptieren. Oft hat die Manipulation von Evidenz schlimme Folgen. Die Geschichte kennt viele Beispiele von Betrüge, die von Fotoamateuren, Fotojournalisten, politischen Parteien und sogar der amerikanischen Militär begehen wurden.
Die Fotounternehmen wie Canon und Nikon entwickelten die firmeneigenen Softwarepakete zur Bild-Authentifikation als die Lösung des obengenannten Problems. 2010 hat ElcomSoft die Sicherheit des Signaturschlüssels in Canons System zur Echtkeitsüberprüfung ausgewertet. Wie die Software von Nikon, sollte das System die Authenzität aufgenommener Bilder in den Augen der Medien, Behörden, Polizei und Unternehmen prüfen. ElcomSoft hat eine Schwachstelle ( http://www.elcomsoft.com/... ) in Canons Software gefunden, die bis heute vom Hersteller nicht beseitigt wird.
Ein Halbjahr später hat ElcomSoft eine ähnliche Sicherheitslücke in von Nikon hergestellten Spiegelreflexkameras gefunden. Die Sicherheitslücke ermöglicht Bilddaten zu manipulieren und macht Nikon Image Authentication System unsicher und unzuverlässig. Eine erfolgreiche Verifikation des Signaturschlüssels ist folgendermaßen kein Beweis der Echtheit digitaler Bilder.
Nikons Sicherheitssystem kompromittiert
Das gesamte System ist nur so sicher wie ihr schwächstes Glied. Im Fall der Nikon Image Authentication System hat das Unternehmen nicht mindestens eine Sache richtig gemacht. Wegen der Sicherheitslücke kann der Signaturschlüssel aus einer Kamera extrahiert werden. Manipulierte digitale Bilder können mit diesem Schlüssel signiert und dann von Nikon Image Authentication Software als authentisch bestätigt werden.
Die Sicherheitslücke wurde in allen aktuallen Spiegelreflexkameras von Nikon gefunden, die Image Authentication System unterstützen, wie D3X, D3, D700, D300S, D300, D2Xs, D2X, D2Hs, und D200.
In allernächster Zukunft macht ElcomSoft einige technische Details auf einer der IT-Sicherheitskonferenzen bekannt. Die ganzen Einzelheiten werden aus Grunde der Sicherheit nicht enthüllt. ElcomSoft hat Nikon als auch CERT Coordination Center über die Schwachstelle benachrichtigt. ElcomSoft hat die meisten Branchen von Nikon kontaktiert, darunter Nikon USA, Nikon Europe und Nikon Japan, aber keine sinvolle Antwort bekommen. Das Fotounternehmen erschien nicht im Geringsten um die Sicherheitslücke besorgt.
ElcomSoft hat den originalen Signaturschlüssel aus Nikon-Kameras extrahiert und damit eine Reihe von manipulierten Bildern signiert, die damit als authentisch bestätigt wurden. Die gefälschten Bildern, die von Nikons Software zur Bild-Authentifikation als unbearbeitet identifiziert wurden, sind auf http://nikon.elcomsoft.com verfügbar.
Eine Reihe von gefälschten Bildern, die von Nikons Software zur Bild-Authentifikation als unbearbeitet identifiziert wurden, ist auf http://nikon.elcomsoft.com verfügbar.
ElcomSoft hat Nikon die Schwachstelle zur Kenntnis gebracht, indem die Firma den Kamera-Hersteller als auch CERT Coordination Center benachrichtigte. Das Softwarehaus hat auch eine Menge von gefälschten Bildern, die von Nikon Image Authetication System als unbearbeitet identifiziert wurden, vorbereitet. Nikon hat kein Interesse daran bekundet.
Image Authentication System von Nikon
Zusammen mit in alle professionellen Nikon-Spiegelreflexkameras integriertem Signatur-Modul, wurde Image Authentication System benutzt, um zu prüfen, ob nach der Aufnahme Änderungen an dem Bild vorgenommen wurden. Wie Nikon bahauptete, wurde die Software für Polizei und Behörden, Versicherungsfirmen, Unternehmen und Nachrichtenagenturen ausgelegen, um damit die Authentizität der Fotos zu überprüfen. ElcomSoft hat demonstriert, dass die Software zur Bild-Authentifikation von Canon und Nikon keine Versprechen der Hersteller erfüllt.
Hintergrund
Die Glaubwürdigkeit des Fotobeweismaterials ist hochwichtig, weil Gerichte, Nachrichtenagenturen und Versicherungsfirmen können die mit Verifikationssystem signierten Bilder als überzeugende Beweise akzeptieren. Oft hat die Manipulation von Evidenz schlimme Folgen. Die Geschichte kennt viele Beispiele von Betrüge, die von Fotoamateuren, Fotojournalisten, politischen Parteien und sogar der amerikanischen Militär begehen wurden.
Die Fotounternehmen wie Canon und Nikon entwickelten die firmeneigenen Softwarepakete zur Bild-Authentifikation als die Lösung des obengenannten Problems. 2010 hat ElcomSoft die Sicherheit des Signaturschlüssels in Canons System zur Echtkeitsüberprüfung ausgewertet. Wie die Software von Nikon, sollte das System die Authenzität aufgenommener Bilder in den Augen der Medien, Behörden, Polizei und Unternehmen prüfen. ElcomSoft hat eine Schwachstelle ( http://www.elcomsoft.com/... ) in Canons Software gefunden, die bis heute vom Hersteller nicht beseitigt wird.
Ein Halbjahr später hat ElcomSoft eine ähnliche Sicherheitslücke in von Nikon hergestellten Spiegelreflexkameras gefunden. Die Sicherheitslücke ermöglicht Bilddaten zu manipulieren und macht Nikon Image Authentication System unsicher und unzuverlässig. Eine erfolgreiche Verifikation des Signaturschlüssels ist folgendermaßen kein Beweis der Echtheit digitaler Bilder.
Nikons Sicherheitssystem kompromittiert
Das gesamte System ist nur so sicher wie ihr schwächstes Glied. Im Fall der Nikon Image Authentication System hat das Unternehmen nicht mindestens eine Sache richtig gemacht. Wegen der Sicherheitslücke kann der Signaturschlüssel aus einer Kamera extrahiert werden. Manipulierte digitale Bilder können mit diesem Schlüssel signiert und dann von Nikon Image Authentication Software als authentisch bestätigt werden.
Die Sicherheitslücke wurde in allen aktuallen Spiegelreflexkameras von Nikon gefunden, die Image Authentication System unterstützen, wie D3X, D3, D700, D300S, D300, D2Xs, D2X, D2Hs, und D200.
In allernächster Zukunft macht ElcomSoft einige technische Details auf einer der IT-Sicherheitskonferenzen bekannt. Die ganzen Einzelheiten werden aus Grunde der Sicherheit nicht enthüllt. ElcomSoft hat Nikon als auch CERT Coordination Center über die Schwachstelle benachrichtigt. ElcomSoft hat die meisten Branchen von Nikon kontaktiert, darunter Nikon USA, Nikon Europe und Nikon Japan, aber keine sinvolle Antwort bekommen. Das Fotounternehmen erschien nicht im Geringsten um die Sicherheitslücke besorgt.
ElcomSoft hat den originalen Signaturschlüssel aus Nikon-Kameras extrahiert und damit eine Reihe von manipulierten Bildern signiert, die damit als authentisch bestätigt wurden. Die gefälschten Bildern, die von Nikons Software zur Bild-Authentifikation als unbearbeitet identifiziert wurden, sind auf http://nikon.elcomsoft.com verfügbar.
Eine Reihe von gefälschten Bildern, die von Nikons Software zur Bild-Authentifikation als unbearbeitet identifiziert wurden, ist auf http://nikon.elcomsoft.com verfügbar.
