Über potentielle Schwachstellen und Risiken von digitalen Signaturen

14/06/2014 - 16:22 von Mok-Kong Shen | Report spam
Unlàngst wurde ich von ein paar Bekannten nach potentiellen Risken von
digitalen Signaturen gefragt. Mit meiner sehr bescheidenen Kenntnis
hatte ich versucht, etwa wie unten skizziert kurz zu antworten. Da ich
mich natürlich bezweifeln müsste, ob meine Antwort auch in der Tat
richtig ist, möchte ich hiermit die Experten bitten, sie zu (eventl.
kràftig) korrigieren bzw. ergànzen.

A. Von der Seite der Theorie (betr. Mathematik):

(1) Es gibt in den verwendeten mathematischen Grundlagen Annahmen, die
bisher nicht vollkommen exakt bewiesen werden können. Diese könnten
sich also jederzeit als falsch erweisen. Beispiel: Unlàngst zeigten
Lenstra et al., daß die Methode des diskreten Logarithmus sehr viel
leichter zu attakieren ist als bisher üblicherweise angenommen.
(http://actu.epfl.ch/news/epfl-resea...ption-alg/).

(2) Alle Methoden haben Parameter, die in gewissen Zahlenbereichen
liegen müssten, damit sie gut funktionieren können. Die Festlegung
solcher Bereiche ist zwangslàufig mit mehr oder minder Willkür
behaftet, womit die tatsàchlich in einem konkreten Fall erreichte
Sicherheit nicht ganz unfragwürdig ist.

(3) Wegen der involvierten hàufig schwierigen Mathematik ist oft große
Expertise nötig, um die Korrektheit der Details gründlich prüfen zu
können. Damit ergibt sich das Risiko, daß ggf. die Anzahl der in Frage
kommenden und verfügbaren Experten nicht ausreichen, um eine neutrale
(das Gegenteil von manipulierte) Prüfung/Bewertung zu garantieren.
Beispiel: Die sog. "dual elliptic curve" sollte eine Hintertür
enthalten zu haben
(http://www.reuters.com/article/2014...TY20140331).
(Die Geschichte führte
zu einer Revision der bisherigen Prozuduren der amerikanischen
Standardisierungsbehörde NIST im Gebiet Kryptographie
(http://fcw.com/articles/2014/02/25/...dance.aspx)).

B. Von der Seite der Praxis (betr. Software und CAs):

(1) Falls ein im ganzen Bearbeitungsprozess von digitalen Signaturen
verwendetes Softwarekomponent nicht-open-source ist, ist das Risiko
von potentiellen Manipulationen (wegen möglicher Untreue der Mitarbeiter
der Softwarefirmen, Druck von Behörden, Hacking, etc.)
offenbar bereits unmöglich auszuschließen.

(2) Auch open-source Software können gravierende Fehler enthalten,
die wegen der Mangel von Personen in der Öffentlichkeit, welche
Interessen, Zeit und adequate Kenntnis haben, sie genau zu prüfen,
lange Zeit unbekannt bleiben. Beispiel: der Heartbleed-Bug von OpenSSL
(https://www.schneier.com/crypto-gram-1404.html).

(3) CAs sind Organisationen von Menschen und Menschen könnten nicht
nur Fehler machen sondern auch sich bestechen, erpressen, ideologisch
oder sonst wie beeinflußen lassen. In einem Signaturprozeß sind im
allgemeinen Fall mehrere CAs involviert, die im Inland oder Übersee
sein können. Wie gut man dem Ergebnis der Zusammenarbeit einer solchen
Gruppe, von denen man in der Regel gar nichts kennt, Vertrauen
schenken kann, dürfte wohl von vornherein ein großes Fragezeichen sein.

M. K. Shen
 

Lesen sie die antworten

#1 Juergen P. Meier
15/06/2014 - 09:00 | Warnen spam
Mok-Kong Shen :
Unlàngst wurde ich von ein paar Bekannten nach potentiellen Risken von
digitalen Signaturen gefragt. Mit meiner sehr bescheidenen Kenntnis



/Alle/ potentiellen Risiken? Das sind aber viele!

z.B.: Man koennte von einer Digitalen Signatur die auf einer SD-Karte
gespeichert ist die in einem Mobiltelefon steckt das jemand auf einem
Balkon eines Hotelzimmers im 14. Stockwerk vor Schreck ueber die eine
SMIME-Warn-Meldung seiner Mail-App fallen laesst am linken Schluessel-
bein getrorffen werden. Dieses Risiko besitzt damit ein durchaus sehr
hohes Schadenspotential wenn das z.B. einem Bundesligafussballspieler
zwei Tage vor einem Turnierspiel passiert...

An welche Klasse von Risiken hat der Fragende denn so gedacht? Und
wollte er nicht eher wissen, welchen Gefahren digitale Signaturen
ausgesetzt sind?

hatte ich versucht, etwa wie unten skizziert kurz zu antworten. Da ich
mich natürlich bezweifeln müsste, ob meine Antwort auch in der Tat
richtig ist, möchte ich hiermit die Experten bitten, sie zu (eventl.
kràftig) korrigieren bzw. ergànzen.

A. Von der Seite der Theorie (betr. Mathematik):

(1) Es gibt in den verwendeten mathematischen Grundlagen Annahmen, die
bisher nicht vollkommen exakt bewiesen werden können. Diese könnten
sich also jederzeit als falsch erweisen. Beispiel: Unlàngst zeigten
Lenstra et al., daß die Methode des diskreten Logarithmus sehr viel
leichter zu attakieren ist als bisher üblicherweise angenommen.
(http://actu.epfl.ch/news/epfl-resea...ption-alg/).



Das ist ein Risiko fuer Kryptographische Algorithmen im allgemeinen
und Geafehrdet natuerlich auch die daraus abgeleiteten Eigenschaften
einer digitalen Sighnatur - bedroht aber wenn das gesammte System und
nicht einzelne Signaturen. Wenn eine Methode so gebrochen wurde,
werden auf einen Schlag alle Signaturen die darauf beruhen ungueltig.

(2) Alle Methoden haben Parameter, die in gewissen Zahlenbereichen
liegen müssten, damit sie gut funktionieren können. Die Festlegung
solcher Bereiche ist zwangslàufig mit mehr oder minder Willkür
behaftet, womit die tatsàchlich in einem konkreten Fall erreichte
Sicherheit nicht ganz unfragwürdig ist.



Das ist ein Risiko das aus der Implementierung hervorgeht, und
betrifft im Grunde alle Systeme wo man keinen guten Zufall bekommt.
Gegenmassnahmen kosten nicht selten Geld (ordentliche HW).

(3) Wegen der involvierten hàufig schwierigen Mathematik ist oft große
Expertise nötig, um die Korrektheit der Details gründlich prüfen zu
können. Damit ergibt sich das Risiko, daß ggf. die Anzahl der in Frage
kommenden und verfügbaren Experten nicht ausreichen, um eine neutrale
(das Gegenteil von manipulierte) Prüfung/Bewertung zu garantieren.
Beispiel: Die sog. "dual elliptic curve" sollte eine Hintertür
enthalten zu haben
(http://www.reuters.com/article/2014...TY20140331).
(Die Geschichte führte
zu einer Revision der bisherigen Prozuduren der amerikanischen
Standardisierungsbehörde NIST im Gebiet Kryptographie
(http://fcw.com/articles/2014/02/25/...dance.aspx)).



Das ist praktisch die Folgeerscheinung von "schlechter Implementierung".

B. Von der Seite der Praxis (betr. Software und CAs):

(1) Falls ein im ganzen Bearbeitungsprozess von digitalen Signaturen
verwendetes Softwarekomponent nicht-open-source ist, ist das Risiko
von potentiellen Manipulationen (wegen möglicher Untreue der Mitarbeiter
der Softwarefirmen, Druck von Behörden, Hacking, etc.)
offenbar bereits unmöglich auszuschließen.



Die Wahrscheinlichkeit tendiert hier sogar gegen 1.

(2) Auch open-source Software können gravierende Fehler enthalten,



s/koennen/tut/

die wegen der Mangel von Personen in der Öffentlichkeit, welche
Interessen, Zeit und adequate Kenntnis haben, sie genau zu prüfen,
lange Zeit unbekannt bleiben. Beispiel: der Heartbleed-Bug von OpenSSL
(https://www.schneier.com/crypto-gram-1404.html).



Das war weder der erste noch der letzte dieser Art (er war der erste
mit diesem Medienecho).

(3) CAs sind Organisationen von Menschen und Menschen könnten nicht



Das ist noch viel Schlimmer: die meisten CAs sind Profitorientierte
Kapitalgesteuerte Unternehmen deren *ausschliessliches* Geschaeftsziel
die Maximierung ihrer Rendiete ist.

nur Fehler machen sondern auch sich bestechen, erpressen, ideologisch
oder sonst wie beeinflußen lassen. In einem Signaturprozeß sind im
allgemeinen Fall mehrere CAs involviert, die im Inland oder Übersee



Nein. Eine Signatur wird von einer einzigen CA (der signing CA)
durchgefuehrt.

sein können. Wie gut man dem Ergebnis der Zusammenarbeit einer solchen
Gruppe, von denen man in der Regel gar nichts kennt, Vertrauen
schenken kann, dürfte wohl von vornherein ein großes Fragezeichen sein.



Es gibt keine Vernetzung oder verbindung zwischen den CAs. Es gibt
nicht mal gemeinsame Standards.

Bei der einen CA musst du schon eine Ausweiskopie verfaelschen und per
FAX (mit einer gefaelschten Absender-Telefonnummer) verschicken um ein
falsches Zertifikat signiert zu bekommen, be der anderen reicht es 100
Dollars per Paypal oder Western Union transferiert zu bekommen und bei
der dritten bekommst du Zertifikate mit offensichtlich falschen Daten
nach formaler* Verifikation sogar kostenfrei (fuer X Tage, zum
Ausprobieren!!!).

Und dann gibt es auch noch die komerziellen CAs, bei denen die
Ausweiskopie bei Meldebehoerden geprueft wird, bei denen
Addressangaben verifiziert werden und Angaben von Firmendaten ueber
Handelsregister abgefragt werden. Denen kann auch der Normaluser ein
gewisses Vertrauen entgegen bringen.

* Formale Verifikation: ist die PLZ eine zahl? besteht der Name aus
Buchstaben? Sind die Kreditkartendaten plausibel? etc.

Eine CA betreibt man wenn selbst. Aber auch da muss man das von
jemanden machen lassen, der PKI *verstanden* hat (das sind leider
nicht viele - und damit untertreibe ich).

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen