Einem Team des Informatik-Lehrstuhls der Universität Bonn ist es gelungen, bei der Übertragung einer digitalen Signatur mit der Software Etrust Mail 1.01 von Signtrust, die PIN abzufangen. Das berichtet das Nachrichtenmagazin „Der Spiegel“ in seiner neuesten Ausgabe. Damit erscheint die flächendeckende Einführung der digitalen Signatur, wie sie für die zweite Jahreshälfte von zahlreichen Banken angestrebt wird (ZDNet berichtete), ernsthaft in Gefahr.
Das Gesetz zur digitalen Signatur war Ende Mai in Kraft getreten. Das Paket, das von mittlerweile acht authorisierten Zertifizierungsstellen an die Endkunden bereit gestellt wird, besteht aus Hardware in Form einer Chipkarte, auf der der persönliche Code gespeichert ist, sowie einer Software, die die private PIN enthält. Die digitale Signatur wird aus dem Code und der PIN gebildet. Das Programm wurde von verschiedenen offiziellen Stellen geprüft und für sicher befunden.
Laut dem Spiegel-Bericht hat das Informatiker-Team die Etrust Mail 1.01-Software des Post-Tochterunternehmens Signtrust bereits im Februar überlistet und anschließend die Behörden informiert. Dort jedoch soll sich niemand recht zuständig fühlen. Das Magazin zitiert die Behörden, die Regulierungsbehörde (RegTP) prüfe derzeit den Vorgang. Auf deren Site heißt es momentan: „Aus gegebenem Anlass weist die RegTP darauf hin, dass Anwenderkomponenten, welche zum Beispiel zur Erzeugung beziehungsweise Verifikation digitaler Signaturen eingesetzt werden, nur auf vertrauenswürdigen IT-Systemen betrieben werden sollten.“
Indirekt bestätigt die Regulierungsbehörde somit die Bonner Informatiker: Ausspähen der PIN, Manipulation der Anzeige zu signierender oder signierter Daten und die Veränderung der Anzeige von Prüfergebnissen sei in schlecht gesicherten Systemen möglich. Die digitale Signatur könne somit manipuliert, verfälscht oder ungültig gemacht werden, schreibt die RegTP.
Bei einem Kongress des Bundesamtes für Sicherheit in der Informationstechnik stellten die Autoren nicht nur die Unsicherheit des bisherigen Systems dar, sondern zeigten auch mit dem von ihnen entwickelten Troyan Resistant Secure Signing-Verfahren Lösungsansätze. Nicht zuletzt berichtete sie über die rechtlichen Konsequenzen für die Endanwender. So stehe der Verbraucher in der Beweispflicht zu zeigen, dass ein Eindringling seine Daten manipuliert hat.
Kontakt: RegTP, Tel.: 0228/149921 (günstigsten Tarif anzeigen)
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…
Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…