Einem Team des Informatik-Lehrstuhls der Universität Bonn ist es gelungen, bei der Übertragung einer digitalen Signatur mit der Software Etrust Mail 1.01 von Signtrust, die PIN abzufangen. Das berichtet das Nachrichtenmagazin „Der Spiegel“ in seiner neuesten Ausgabe. Damit erscheint die flächendeckende Einführung der digitalen Signatur, wie sie für die zweite Jahreshälfte von zahlreichen Banken angestrebt wird (ZDNet berichtete), ernsthaft in Gefahr.
Das Gesetz zur digitalen Signatur war Ende Mai in Kraft getreten. Das Paket, das von mittlerweile acht authorisierten Zertifizierungsstellen an die Endkunden bereit gestellt wird, besteht aus Hardware in Form einer Chipkarte, auf der der persönliche Code gespeichert ist, sowie einer Software, die die private PIN enthält. Die digitale Signatur wird aus dem Code und der PIN gebildet. Das Programm wurde von verschiedenen offiziellen Stellen geprüft und für sicher befunden.
Laut dem Spiegel-Bericht hat das Informatiker-Team die Etrust Mail 1.01-Software des Post-Tochterunternehmens Signtrust bereits im Februar überlistet und anschließend die Behörden informiert. Dort jedoch soll sich niemand recht zuständig fühlen. Das Magazin zitiert die Behörden, die Regulierungsbehörde (RegTP) prüfe derzeit den Vorgang. Auf deren Site heißt es momentan: „Aus gegebenem Anlass weist die RegTP darauf hin, dass Anwenderkomponenten, welche zum Beispiel zur Erzeugung beziehungsweise Verifikation digitaler Signaturen eingesetzt werden, nur auf vertrauenswürdigen IT-Systemen betrieben werden sollten.“
Indirekt bestätigt die Regulierungsbehörde somit die Bonner Informatiker: Ausspähen der PIN, Manipulation der Anzeige zu signierender oder signierter Daten und die Veränderung der Anzeige von Prüfergebnissen sei in schlecht gesicherten Systemen möglich. Die digitale Signatur könne somit manipuliert, verfälscht oder ungültig gemacht werden, schreibt die RegTP.
Bei einem Kongress des Bundesamtes für Sicherheit in der Informationstechnik stellten die Autoren nicht nur die Unsicherheit des bisherigen Systems dar, sondern zeigten auch mit dem von ihnen entwickelten Troyan Resistant Secure Signing-Verfahren Lösungsansätze. Nicht zuletzt berichtete sie über die rechtlichen Konsequenzen für die Endanwender. So stehe der Verbraucher in der Beweispflicht zu zeigen, dass ein Eindringling seine Daten manipuliert hat.
Kontakt: RegTP, Tel.: 0228/149921 (günstigsten Tarif anzeigen)
Neueste Kommentare
Noch keine Kommentare zu Bericht: Digitale Signatur mit Sicherheitslücke
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.